Gobierno 4 Controladores de Informacion PDF

Información Catalizadora
Personal Copy of: Lic. Manuel Itandeui Flores Ortega

INFORMACIÓN CATALIZADORA
ISACA®
Con más de 110.000 asociados en 180 países, ISACA (www.isaca.org) ayuda a las empresas y los líderes de Tecnologías
de la Información a maximizar el valor y gestionar los riesgos relacionados con la Tecnología de Información. Fundada en
1969, ISACA, independiente y sin ánimo de lucro, es una asociación de profesionales relacionados con la seguridad de la
información, aseguramiento, gestión de riesgos y gobierno de TI. Estos profesionales se basan en ISACA como fuente fiable
para el conocimiento de TI, sus redes sociales, estándares profesionales y certificaciones. La asociación que cuenta
mundialmente con 200 Capítulos imparte y valida perfiles críticos de los negocios y conocimiento mediante los globalmente
reconocidos certificados Certified Información Systems Auditor® (CISA®), Certified Información Security Manager®
(CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) and Certified in Risk and Información Systems
ControlTM (CRISCTM). ISACA también desarrolló y actualiza continuamente el Marco de negocio COBIT®, el cual ayuda a
las empresas, con independencia del sector y de ubicación geográfica, a gobernar y administrar su información y
tecnología.
Exclusión de responsabilidad
ISACA ha diseñado y creado COBIT® 5: Información Catalizadora (el ‘Trabajo’) principalmente como recurso educativo
para profesionales del gobierno de IT en empresas (governance of enterprise IT (GEIT)), aseguramiento, riesgo y
seguridad. ISACA no afirma que el uso de cualquier parte del ‘Trabajo’ asegure un resultado exitoso. No debe considerarse
que el ‘Trabajo’ englobe toda la información, procedimientos y pruebas adecuadas, ni que excluya otro tipo de
información, procedimiento y pruebas que puedan ser razonablemente dirigidas para obtener los mismos resultados. Al
determinar la conveniencia de cualquier información específica, procedimiento o prueba, los lectores deberían aplicar su
propio juício profesional en relación al gobierno de IT en empresas (governance of enterprise IT (GEIT)) específico,
aseguramiento, circunstancias de riesgo y seguridad presentadas por particulares sistemas o por el entorno de tecnologías
de información.
Copyright / Reserva de Derechos

© 2013 ISACA. Todos los derechos reservados. Para obtener instrucciones de uso, consulte www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Sitio WEB: www.isaca.org
Comentarios: www.isaca.org/cobit
Participar en el ISACA Knowledge Center: www.isaca.org/knowledge-center
Sigue a ISACA en Twitter: https://twitter.com/ISACANews
Únete a ISACA en LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficial
Me gusta ISACA en Facebook: www.facebook.com/ISACAHQ
COBIT® 5: Información Catalizadora

ISBN 978-1-60420-554-1
2 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

AGRADECIMIENTOS
ISACA®
With more than 110,000 constituents in 180 countries, ISACA (www.isaca.org) helps business and IT leaders maximize
value and manage risk related to information and technology. Founded in 1969, the non-profit, independent ISACA is an
advocate for professionals involved in information security, assurance, risk management and governance. These
professionals rely on ISACA as the trusted source for information and technology knowledge, community, standards and
certification. The association, which has 200 chapters worldwide, advances and validates business-critical skills and
knowledge through the globally respected Certified Information Systems Auditor® (CISA®), Certified Information Security
Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) and Certified in Risk and Information
Systems ControlTM (CRISCTM) credentials. ISACA also developed and continually updates COBIT® a business framework
that helps enterprises in all industries and geographies govern and manage their information and technology.
Disclaimer
ISACA has designed and created COBIT® 5: Enabling Information (the ‘Work’) primarily as an educational resource for
governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any
of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information,
procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the
same results. In determining the propriety of any specific information, procedure or test, readers should apply their own
professional judgment to the specific governance of enterprise IT (GEIT), assurance, risk and security circumstances
presented by the particular systems or information technology environment.
Copyright
© 2013 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Web site: www.isaca.org
Provide Feedback: www.isaca.org/cobit

Participate in the ISACA Knowledge Center: www.isaca.org/knowledge-center
Follow ISACA on Twitter: https://twitter.com/ISACANews
Join ISACA on LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficial
Like ISACA on Facebook: www.facebook.com/ISACAHQ
COBIT® 5: Enabling Information

3
AGRADECIMIENTOS
ISACA quiere reconocer la labor de:
Fuerza de trabajo de COBIT 5 IRM

Steven De Haes, Ph.D., University of Antwerp—Antwerp Management School, Bélgica, Presidente
Charles Betz, AT&T, Estados Unidos de América
Martin Douglas, CA (SA), ITIL, Reino Unido
Patrick Stachtchenko, CISA, CGEIT, CRISC, CA, Stachtchenko & Associates SAS, Francia
Equipo de Desarrollo
Stefanie Grijp, PwC, Bélgica
Bart Peeters, CISA, PwC, Bélgica
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Bélgica
Participantes de Talleres
Floris Ampe, CISA, CGEIT, CRISC, CIA, ISO 27001, PwC, Bélgica
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur Peter De Bruyne, CISA, CGEIT, ITIL, ING, Bélgica
Peter De Bruyne, CISA, CGEIT, ITIL, ING, Bélgica
Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Expert, PRINCE2, TAC A.S., Turquía Jurgen Van De Sompel, CGEIT, Bélgica
Jurgen Van De Sompel, CGEIT, Bélgica
Tichaona Zororo, CISA, CISM, CGEIT, CRISC, CIA, CRMA, EGIT | Enterprise Governance of IT (Pty) Ltd., Sudáfrica
Revisores Expertos
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Goutama Bachtiar, BCIP, BCP, HPCP, Global Innovations and Technology Platform, Indonesia
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur Peter De Bruyne, CISA, CGEIT, ITIL, ING, Bélgica
Joanne De Vito De Palma, BCMM, The Ardent Group, Estados Unidos de América
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria
Ivo Horner, Australia
John Jasinski, CISA, CGEIT, ISO20K, ITIL Expert, SSBB, ITSMBP, Estados Unidos de América
Masatoshi Kajimoto, CISA, CRISC, Japón
Joanna Karczewska, CISA, Polonia
John W. Lainhart IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, Estados Unidos de América
Anthony P. Noble, CISA, Viacom, Estados Unidos de América
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, Reino Unido
Patricia Prandini, CISA, CRISC, Direccion De Aplicaciones, Argentina
Salomon Rico, CISA, CISM, CGEIT, Deloitte Mexico, Méjico
Paras Kesharichand Shah, CISA, CGEIT, CRISC, CA, Australia
Mark Smalley, Smalley.IT, Holanda
Jurgen Van De Sompel, CGEIT, Bélgica
Greet Volders, CGEIT, Voquals, Bélgica
Tichaona Zororo, CISA, CISM, CGEIT, CRISC, CIA, CRMA, EGIT | Enterprise Governance of IT (Pty) Ltd., Sudáfrica
Consejo de Administración de ISACA

Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Presidente Internacional
Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, Reino Unido, Vicepresidente
Juan Luis Carselle, CISA, CGEIT, CRISC, RadioShack Méjico, Méjico, Vicepresidente
Ramses Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, Six Sigma Black Belt, Dell, Spain, Vicepresidente
Theresa Grafenstine, CISA, CGEIT, CRISC, CGAP, CGMA, CIA, CPA, US House of Representatives, EE.UU. América, Vicepresidente
Vittal Raj, CISA, CISM, CGEIT, CFE, CIA, CISSP, FCA, Kumar & Raj, India, Vicepresidente
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management Inc., Estados Unidos de América, Vicepresidente
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica, Vicepresidente
Gregory T. Grocholski, CISA, The Dow Chemical Co., Estados Unidos de América, Anterior Presidente Internacional
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), Estados Unidos de América, Anterior Presidente
Internacional
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Director
Krysten McCabe, CISA, The Home Depot, Estados Unidos de América, Director
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Director

AGRADECIMIENTOS
AGRADECIMIENTOS (CONT.)
Junta de Expertos
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Presidente
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, Estados Unidos de América
Philip J. Lageschulte, CGEIT, CPA, KPMG LLP, Estados Unidos de América
Anthony P. Noble, CISA, Viacom, Estados Unidos de América
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, Reino Unido
Comisión del Marco

Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido, Presidente
David Cau, ISO, ITIL, MSP, PRINCE2, Francia
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Frank J. Cindrich, CGEIT, CIPP, CIPP/G, Deloitte & Touche LLP, Estados Unidos de América
Joanne De Vito De Palma, BCMM, The Ardent Group, Estados Unidos de América
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria
Katherine McIntosh, CISA, Central Hudson Gas & Electric Corp., Estados Unidos de América
Andre Pitkowski, CGEIT, CRISC, APIT Informatica, Brasil
Paras Kesharichand Shah, CISA, CGEIT, CRISC, CA, Australia
Equipo de traducción ISACA Barcelona:

Gonzalo Cuatrecasas, MBA, CISA, CISM, CGEIT
Inma González Gallo, MBA
Juan Dávila R., CISA, CISM, CRISC, ISO27001LA, ISO22301LA
Carles Mateu, CISA
Xavier Vila, Eur Ing, CISA, CISM, CRISC, ISO27001LA, ASITF
Salvador Simarro, CISA, 27001LA
Joan Figueras Tugas, CISA
Miguel Ángel Martínez Ayuso, MBA, CISA, CISM, CGEIT
Ramon Codina, CISM
Daniel Agudo García, CISA, CISM, CISSP, OPST, ISO27001, PMP
César Grasa Bello, CISA
Jordi Brinquez, CISA, ISO 27001LA
Rafael Estevan, CISA, CERT-CC
Xavier Rubiralta Costa, CISA, CISM, CGEIT, CRISC
Isidre Fàbregues, CISA
Marta Bernat Masat, CLSP
Antonio González Ortiz, CISA, CIA, CISM
José Manuel Valdés César, CISA, CRISC, ITIL Service Manager
Enric Güell, CISA
Gemma Déler, CISA, CGEIT, PMP, ISO27001, ITIL
Josep Lluís Masmitjà, CISA
Enric Gómez, CISA
Ignacio Guimarans, CISA, CISM, CRISC
Jacqueline Nolte-Pfleiderer, CISA
Albert Lladó, MBA, CISA, CISM, CGEIT, CRISC, ISO27001LA, ISO22301LA
Carlos Bachmaier, CGEIT, CRISC, CISA, CISM, ISO27001LA
Laia Segarra, asesora lingüística, Auren
Personal Copy of: Lic. Manuel Itandeui Flores Ortega 5

TABLA DE CONTENIDOS
Lista de Figuras ............................................................................................................................................................................ 8
Capítulo 1. Introducción............................................................................................................................................................ 11
1.1 COBIT 5: Información Catalizadora en la familia de productos COBIT 5 .........................................................................11
1.2 Beneficios de COBIT 5: Información Catalizadora ....................................................................................................... 11
1.3 Público objetivo de esta publicación................................................................................................................................... 12
1.4 Conocimiento requerido previamente .............................................................................................................................. 13
1.5 Visión general y alcance ................................................................................................................................................... 13
Capítulo 2. Principios de COBIT 5 aplicados a la Información ........................................................................................... 17

2.1 Principios de COBIT 5 ..................................................................................................................................................... 17
2.1.1 Satisfacer las necesidades de las partes interesadas ............................................................................................... 18
2.1.2 Abarcando la empresa en su totalidad ...................................................................................................................... 21
2.1.3 Aplicación de un marco de referencia único e integrado ........................................................................................... 25
2.1.4 Posibilitar un enfoque holístico ............................................................................................................................... 25
2.1.5 Separar el Gobierno de la Gestión ............................................................................................................................. 28
Capítulo 3. Modelo de Información de COBIT 5 ................................................................................................................... 31

3.1 Visión general del Modelo de Información de COBIT 5 .................................................................................................. 31
3.1.1 Partes interesadas ..................................................................................................................................................... 31
3.1.2 Objetivos .................................................................................................................................................................. 35
3.1.3 Ciclo de vida ............................................................................................................................................................ 37
3.1.4 Buenas prácticas....................................................................................................................................................... 42
3.2 Ejemplos adicionales del Modelo de uso de la información COBIT 5 ................................................................................. 44
3.2.1 Muestra de casos de uso para el Modelo de Información de COBIT 5................................................................. 44
3.2.2 Descripción completa del elemento de información—Perfil de Riesgo .............................................................. 45
Capítulo 4. Abordando cuestiones de Gobernanza y Gestión de la Información con COBIT 5 .................................... 51

4.1 Cuestiones de Gobernanza y Gestión de la Información revisadas en este capítulo .................................................... 51
4.1.1 Big Data ................................................................................................................................................................... 52
4.2 Cuestión de Gestión/Gobernanza de la Información: Demanda/Uso de la Información .............................................. 52
4.2.1 Descripción de la cuestión y contexto de negocio ................................................................................................. 52
4.2.2 Información afectada ............................................................................................................................................... 53
4.2.3 Objetivos de empresa y de TI afectados .................................................................................................................. 53
4.2.4 Catalizadores para abordar la cuestión .................................................................................................................... 54
4.3 Aspectos de Gobernanza/Gestión de la Información: Conocimiento en Marketing Situacional
(Dimensión 1 del Big Data: Variedad de la Información) ............................................................................................... 57
4.3.1 Descripción del problema y contexto de negocio................................................................................................... 57
4.3.3 Objetivos afectados ................................................................................................................................................. 57
4.3.4 Catalizadores para abordar el tema ......................................................................................................................... 58
4.4 Aspectos de Gobernanza/Gestión de la Información: Detección del fraude
(Dimensión 2 del Big Data: Velocidad de la Información) ............................................................................................. 59
4.4.1 Descripción del problema y contexto de negocio .................................................................................................. 59
4.4.2 Información afectada ................................................................................................................................................ 59
4.4.3 Objetivos afectados ................................................................................................................................................. 59
4.4.4 Catalizadores para abordar el tema .......................................................................................................................... 60
4.5 Aspectos de Gobernanza/Gestión de la Información: Análisis predictivo de TI
(Dimensión 3 del Big Data: Volumen de Información).................................................................................................. 61
4.5.3 Objetivos afectados .................................................................................................................................................. 61
4.6 Aspectos de Gobernanza/Gestión de la Información: Datos maestros y de referencia................................................ 64
4.6.1 Descripción del problema y contexto de negocio................................................................................................... 64

TABLA DE CONTENIDOS
4.7 Gobierno de la Información/Problema de Gestión: informática de usuario final .......................................................... 68

4.7.3 Metas afectadas ........................................................................................................................................................ 69
4.7.4 Catalizadores para la solución del problema ........................................................................................................... 70
4.8 Gobierno de la Información/Problema de Gestión: Desintermediación ....................................................................... 72
4.8.3 Metas afectadas ........................................................................................................................................................ 73
4.8.4 Catalizadores para la solución del problema ........................................................................................................... 73
4.9 Aspectos de Gobernanza/Gestión de la Información: Cumplimiento normativo ....................................................... 75
4.10 Problema de la Gestión/Gobierno de la Información: Privacidad .................................................................................. 78
4.10.1 Descripción del problema y contexto de negocio ................................................................................................ 78
4.10.2 Información afectada.............................................................................................................................................. 78
4.10.3 Objetivos afectados ................................................................................................................................................ 78
4.10.4 Catalizadores para abordar el tema........................................................................................................................ 79
Apéndice A. Otra información de referencia .......................................................................................................................... 81
Apéndice B. Ejemplo de Elementos de Información que dan soporte a los objetivos de las áreas funcionales ............ 89
Apéndice C. Ejemplo de Elementos de Información que dan soporte a los objetivos relacionados con TI..................... 93

LISTA DE FIGURAS
Figura 1— Familia de productos COBIT 5 ...................................................................................................................................... 11
Figura 2— Público objetivo y beneficios de COBIT 5: Información Catalizadora ................................................................. 12
Figura 3—COBIT 5: Información Catalizadora y Preguntas formuladas frecuentemente (FAQ).......................................... 15
Figura 4—Principios de COBIT 5 .............................................................................................................................................. 17
Figura 5—El objetivo de gobierno: creación de valor............................................................................................................... 19
Figura 6—Cascada de objetivos de COBIT 5 para la empresa ................................................................................................. 20
Figura 7—Objetivos generales de empresa (Marco de referencia COBIT 5) .............................................................................21
Figura 8—Flujos clave de información en una empresa ............................................................................................................ 22
Figura 9—Ejemplos de Elementos de Información en ñps Flujos de Información que soportan los Objetivos de la Cadena de
Valor de la Empresa..................................................................................................................................................................... 23
Figura 10—Objetivos genéricos relacionados con TI ............................................................................................................... 23
Figura 11—Elementos de Información que soportan los objetivos relacionados con las TI .................................................. 25
Figura 12—COBIT 5 Catalizadores ........................................................................................................................................... 26
Figura 13—Catalizadores genéricos de COBIT 5 ..................................................................................................................... 26
Figura 14—Uso práctico del Modelo de Información ............................................................................................................... 31
Figura 15—El Modelo de Información de COBIT 5 ................................................................................................................. 32
Figura 16—Partes interesadas en la información de los datos de clientes ................................................................................ 33
Figura 17—Partes interesadas en la información de Estrategia de TI ...................................................................................... 33
Figura 18—Partes interesadas en la información de los Documentos de Especificaciones de Software de Cadena de
Suministro .................................................................................................................................................................................... 34
Figura 19—Partes interesadas en la información de Registros Médicos de Pacientes ............................................................ 34
Figura 20—Objetivos de Información/Criterios de Calidad ..................................................................................................... 35
Figura 21—Análisis y Ejemplos de los Objetivos de Información/Criterios de Calidad ........................................................ 36
Figura 22—Criterios de Calidad de Información aplicados a la Seguridad ............................................................................. 37
Figura 23—Ciclo de vida de la Información .............................................................................................................................. 37
Figura 24—Flujos de Información clave en una empresa.......................................................................................................... 38
Figura 25—Ejemplo del ciclo de vida de Información para la Información de Proveedores ................................................... 39
Figura 26—Ejemplo del ciclo de vida de Información para los requisitos de retención .......................................................... 39
Figura 27—Ejemplo del ciclo de vida de Información para los datos de gestión de cambios en TI........................................ 40
Figura 28—Atributos de Información ........................................................................................................................................ 42
Figura 29—Atributos de Información de buenas prácticas para datos de clientes ................................................................... 43
Figura 30—Construyendo las especificaciones del Sistema de Información ........................................................................... 44
Figura 31—Definición de los requisitos de protección de la Información .............................................................................. 44
Figura 32—Determinar la facilidad de uso de los datos ............................................................................................................ 44
Figura 33—Prácticas de modelado de control de aplicaciones ................................................................................................. 45
Figura 34—Desarrollo de un sistema de control interno ............................................................................................................ 45
Figura 35—Elementos de Información de perfiles de riesgo .................................................................................................. 46
Figura 36—Formato de discusión para cuestiones de Gobierno y Gestión de la Información ............................................... 51
Figura 37—Objetivos de calidad de la Información del lado de la demanda de Información ................................................. 53
Figura 38—Objetivos en cascada ilustrativos para el lado de la demanda de Información ...................................................... 54
Figura 39—Conjunto ilustrativo de catalizadores para el lado de la demanda de Información ................................................ 54
Figura 40—Relación de objetivos de calidad de la Información ilustrativos para el conocimiento de marketing situacional 56
Figura 41—Cascada ilustrativa de objetivos para el conocimiento de marketing situacional ..................................................... 57
Figura 42—Conjunto ilustrativo de catalizadores para el conocimiento de marketing situacional............................................. 58
Figura 43—Cascada de objetivos de calidad ilustrativa para la detección del fraude ............................................................... 59
Figura 44—Cascada de objetivos ilustrativa para la detección del fraude................................................................................. 59

LISTA DE FIGURAS
Figura 45—Conjunto ilustrativo de catalizadores para la detección del fraude ........................................................................60

Figura 46—Cascada de objetivos de calidad ilustrativa para Análisis predictivo de TI ..........................................................61
Figura 47—Cascada de objetivos ilustrativa para Análisis predictivo de TI .............................................................................61
Figura 48—Conjunto ilustrativo de catalizadores para Análisis predictivo de TI.....................................................................62
Figura 49—Relación de objetivos de calidad para la gestión de datos de referencia y maestros ..............................................65
Figura 50—Cascada ilustrativa de objetivos para la gestión de datos de referencia y maestros ..............................................65
Figura 51—Conjunto ilustrativo de catalizadores para la gestión de datos de referencia y maestros..............................................66
Figura 52—Metas de calidad ilustrativas de la información para la informática de usuario final .............................................69
Figura 53—Cascada ilustrativa de metas para informática de usuario final...............................................................................69
Figura 54—Conjunto ilustrativo de catalizadores para informática de usuario final.................................................................70
Figura 55—Metas de calidad ilustrativas para la Desintermediación ........................................................................................73
Figura 56—Cascada ilustrativa de metas para la Desintermediación.........................................................................................73
Figura 57—Conjunto ilustrativo de catalizadores para la Desintermediación ...........................................................................73
Figura 58—Ejemplo de requerimientos regulatorios .................................................................................................................75
Figura 59—Ilustración de objetivos de calidad de información para el cumplimiento normativo ............................................76
Figura 60—Cascada ilustrativa de objetivos para el cumplimiento normativo ..........................................................................76
Figura 61—Ilustración del conjunto de catalizadores para el cumplimiento normativo............................................................76
Figura 62—Objetivos de calidad de la información ilustrativos para el cumplimiento de la privacidad ..................................78
Figura 63—Cascada ilustrativa de objetivos para el cumplimiento de la privacidad.................................................................79
Figura 64—Conjunto ilustrativo de facilitadores para el cumplimiento de la privacidad ..........................................................79
Figura 65—Comparación del ciclo de vida de información entre COBIT 5 y DMBOK .........................................................82
Figura 66—Funciones de gestión de datos DMBOK.................................................................................................................83
Figura 67—Funciones de gestión de datos DMBOK comparado con COBIT 5 ................................................................ 84
Figura 68—DMBOK Elementos ambientales ............................................................................................................................85
Figura 69—DMBOK Elementos ambientales comparados con los catalizadores de COBIT 5 .....................................................86
Figura 70—Comparación de las cláusulas de la norma ISO 15489-1:2001 y COBIT 5 ..................................................... 87
Figura 71—Ejemplos de elementos de Información en flujos de Información que soportan los objetivos de la cadena de valor
de la empresa ................................................................................................................................................................................89
Figura 72—Elementos de Información de apoyo a objetivos relacionados con TI (Genérico) .....................................................93

COBIT INFORMACIÓN CATALIZADORA
Página dejada en blanco intencionadamente

CAPÍTULO 1
INTRODUCCIÓN
CAPÍTULO 1
INTRODUCCIÓN
1.1 COBIT 5: Información Catalizadora en la familia de productos COBIT 5
COBIT 5 es un marco integral para ayudar a las empresas a alcanzar sus objetivos en el gobierno y la gestión del tecnología
de información (TI) empresarial. COBIT 5: Información Catalizadora soporta y enriquece la familia de productos del
marco COBIT 5 (figura 1) enfocando en el catalizador de información. Esta guía cubre los atributos del modelo de
información y el ciclo de la vida introducidos en el marco COBIT 5. COBIT 5: Información Catalizadora es una guía de
referencia para pensar en forma estructurada sobre la información y los aspectos típicos de gobierno y gestión de la
información.
El marco COBIT 5 está construido sobre cinco principios básicos, que quedan cubiertos en detalle e incluyen una guía
exhaustiva sobre los catalizadores para el gobierno y la gestión de TI en la empresa.
La familia de productos COBIT 5 incluye los siguientes productos:

• COBIT 5 (el marco de trabajo)
• Guías de catalizadores COBIT 5, en las que se discuten en detalle los catalizadores para el gobierno y la gestión, estas
incluyen:
− COBIT 5: Procesos Catalizadores
− COBIT 5: Información Catalizadora
− Otras guías de catalizadores (ver en www.isaca.org/cobit)
• Guías profesionales COBIT 5, incluyendo
− Implementación de COBIT 5
− COBIT 5 para Seguridad de la Información
− COBIT 5 para Aseguramiento
− COBIT 5 para Riesgos
− Otras guías profesionales (ver en www.isaca.org/cobit)
• Un entorno colaborativo online, que estará disponible para dar soporte al uso de COBIT 5 (en desarrollo)
1.2 Beneficios de COBIT 5: Información Catalizadora

El beneficio principal de esta publicación es que provee a los usuarios de COBIT 5 con una guía de referencia para el
pensamiento estructurado en relación a la información y los aspectos típicos de gobierno y gestión de la información en
cualquier tipo de organización. Este pensamiento estructurado puede aplicarse en el ciclo de vida de la información, desde la
concepción y el diseño, durante el proceso de la construcción de los sistemas, la securización de la información, el uso y
provisión de garantías a la información y hasta la eliminación de la misma.

11
Esta guía proporciona los tres beneficios clave siguientes a los profesionales de la información:
• Un modelo integral de información, basado en el modelo genérico catalizador de COBIT 5, que integra todos los
aspectos de la información, por ejemplo las partes interesadas (stakeholders), metas (calidad), etapas del ciclo de vida y
buenas prácticas (atributos de la información). El modelo permite a los profesionales considerar y desarrollar, en forma
efectiva, modelos de información relevantes y utilizables, desde un punto de vista del gobierno y de la gestión.
• Una guía para el uso del marco establecido para el gobierno y la gestión (COBIT 5) para abordar las cuestiones de
gobierno y gestión de la información comunes, por ejemplo, “big data”, gestión de los datos maestros, la eliminación
de intermediarios y la privacidad de la información, y para tratar estos asuntos con los principios y conceptos,
especialmente los catalizadores, de COBIT 5.
• La comprensión de los motivos que precisa la información para ser gestionada y gobernada en modo apropiado y sobre
la criticidad de la información contenida en un contexto dado.
Esta guía asiste a las empresas en las cuestiones y desafíos de información, tales como:
• Conjuntos de datos dispares y no coordinados que implican costes y riesgos crecientes por el incumplimiento de plazos en
proyectos, la falta de transparencia y los fallos operacionales.
• La gestión de registros: los equipos de legales y de TI necesitan una base de referencia común para coordinar las
actividades debido a los costes y preocupación crecientes que la retención y las pruebas legales representan para los
gestores, y a que la clasificación de seguridad se solapa con la clasificación de registros.
• El número de elementos de datos con múltiples dimensiones de conformidad es creciente. Cómo puede una empresa
mantener prácticas apropiadas para cumplir con la legislación global y local de aplicación, así como con los requisitos
reglamentarios y de cumplimiento como:
− PCI: Normativa del sector de tarjetas de pago (Payment Card Industry, PCI)
− HIPAA: Ley de Portabilidad y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act,
HIPAA)
− HITECH: Ley de Tecnología de Información de salud para Salud económica y clínica (Health Información Technology for
Economic and Clinical Health, HITECH Act)
− GLB: Ley de Gramm-Leach-Bliley (GLB) Act
− Directiva Europea (EU) sobre la Protección de Datos.
Específicamente, ¿cómo se ponen en marcha las prácticas en términos de gestión de datos e información? Las empresas
experimentan crecientes dificultades en mantener el control de sus datos para cumplir con los requerimientos legales y
reguladores. ¿Qué tiene que hacerse para tratar esta cuestión?
• Cada vez más, la información se reconoce como un activo o un recurso que provee beneficios a la empresa cuando la
empresa cumple con los objetivos de calidad necesarios. En todo caso, siempre es un reto identificar, definir y priorizar
estos objetivos frente a los costes de calidad.
La intención de esta guía es proporcionar a los lectores un mejor entendimiento de las cuestiones del gobierno y de la
gestión de información, así como mejorar su capacidad para generar beneficio y gestionar los riesgos relacionados con la
información. Esta guía apoya a los lectores en sus esfuerzos en emplear un pensamiento centrado en la información en sus
empresas.
1.3 Público objetivo de esta publicación

La Figura 2 muestra que el público objetivo para esta publicación incluye un amplio rango de profesionales de negocios y de
TI, ya que todos usan la información como un recurso y/o como un activo.
Figura 2—Público objetivo y beneficios de COBIT 5: Información Catalizadora

Partes interesadas Beneficios específicos para las Partes interesadas utilizando COBIT 5: InformaciónCatalizadora
• Consejo de Administración y • Comprensión básica del significado de gobierno y gestión de información, basado en los principios de COBIT 5 y la
Director general ejecutivo [CEO], afirmación que existe un modelo integral para describir y tratar todos los aspectos de la información.
Director de operaciones [COO], • Un mejor entendimiento de la información como un activo/recurso valioso valorado y como catalizador y catalizador.
Director financiero [CFO])
• Propietarios del proceso de • Comprensión básica del significado de gobierno y gestión de información, basado en los principios de COBIT 5 y la
negocio, Arquitectos de los afirmación que existe un modelo integral para describir y manejar todos los aspectos de la información.
procesos de negocio • Visión bien definida de los elementos de información necesarios para ejecutar los procesos de negocio
• Arquitectos de la información, • Un modelo orientado a COBIT 5 para describir, especificar y diseñar todos los aspectos de la información que da
Constructores de soluciones de soporte a los procesos basados en información y a los sistemas de información, ya sea de forma automatizada o no.
información, Gestores de • La capacidad para identificar elementos de información que necesitan ser gestionados mediante las aplicaciones que se
información, Arquitectos TI, están desarrollando.
Desarrolladores TI

CAPÍTULO 1
INTRODUCCIÓN
Figura 2— Público objetivo y beneficios de COBIT 5: Información Catalizadora (cont.)

Partes interesadas Beneficios específicos para los Interesados utilizando COBIT 5: Información Catalizadora
Director de sistemas de • Compresión del modelo para los elementos de la información necesario para dirigir la función de TI.
información [CIO] y Dirección TI, • Una mejor comprensión de todos elementos de la información del negocio que deben gestionarse mediante sistemas de
Proveedores de tecnología información.
(internos y externos), Gestores de
aplicaciones
Operaciones TI Comprensión de la criticidad de la información contenida en un servicio determinado.
Seguridad TI, Profesionales de la • Comprensión de la criticidad de la información contenida en un servicio determinado.
continuidad de negocio • Comprensión de cómo el modelo de información provee los componentes necesarios para definir y gestionar los
conceptos de la seguridad de la información ya que pertenece a la confidencialidad, integridad y la disponibilidad.
• Un entendimiento sobre cómo sus organizaciones empresariales encajan en el conjunto de la gestión de calidad de
información.
Profesionales de aseguramiento Una orientación sobre los elementos de información necesarios para cumplir con los criterios de calidad al planificar y
ejecutar las tareas de aseguramiento.
Auditoría externa • Comprensión de la exactitud, vigencia y fiabilidad de la información.
• Comprensión de la integridad y seguridad de las transacciones.
• Comprensión del posible impacto material de la información en el rendimiento del negocio.
Profesionales de la gestión de Capacidad para capitalizar en un pensamiento estructurado sobre información y utilizarla para facilitar un entendimiento
registros, Gestores de con TI y con los grupos de negocio.
conocimiento
Profesionales del gobierno y de la Un modelo para describir, especificar y diseñar aspectos clave de la información que soporta los procesos basados en la
gestión de datos información y los sistemas de información, ya sean automatizados o no.
Gobierno y Reguladores • Comprensión básica del significado de gobierno y gestión de información, basado en los principios de COBIT 5 y la
afirmación que existe un modelo integral para describir y tratar todos los aspectos de la información.
• Una base de referencia bien definida sobre la que apoyar sus directivas legislativas y reguladoras.
Educación/Formación Comprensión básica del significado de gobierno y gestión de información, basado en los principios de COBIT 5 y la
afirmación que existe un modelo integral para describir y tratar todos los aspectos de la información, ambas pueden
enseñarse a los estudiantes.
Profesionales de la privacidad Un modelo para analizar y reportar sobre los aspectos de la información que da soporte a los procesos basados en la
información y a los sistemas de información, ya sean automatizados o no.
Profesionales de Cumplimiento y Un modelo para analizar y reportar sobre los aspectos de la información que da soporte a los procesos basados en la
riesgo información y a los sistemas de información, ya sea automatizados o no.
Propietarios de los datos Un modelo para describir, especificar y diseñar los aspectos clave de la información que da soporte a los procesos
basados en la información y a los sistemas de información, ya sean automatizados o no.
1.4 Conocimiento requerido previamente

COBIT 5: Información Catalizadora basa en COBIT 5 (el marco de trabajo). Los conceptos clave de COBIT 5 son repetidos
y elaborados en esta guía, convirtiéndola en una guía relativamente autónoma, no requiriendo conocimiento previo de COBIT
5. Igualmente, la comprensión de los principios COBIT 5, sus conceptos y estructura a nivel básico, acelerarán y mejorarán la
comprensión de los contenidos de esta guía. En el caso de que los lectores deseen conocer más sobre COBIT 5, más alla de lo
requerido para hacer frente a las cuestiones sobre el gobierno y la gestión de los objetivos de negocio, se les remite a la
publicación “COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”.
Adicionalmente, COBIT 5: Información Catalizadora se refiere:

• Al modelo de referencia de procesos de COBIT 5 y los procesos de gobierno y gestión de COBIT 5 que se encuentran
descritos en el mismo. Si los lectores deseen profundizar en los procesos COBIT 5, bien para implantar o mejorar alguno de
ellos como parte del tratamiento de algún aspecto relacionado a la información, se les remite a la publicación de COBIT 5:
Guía de procesos catalizadores.
• A los otros catalizadores de COBIT 5 que se detallan en la publicación “COBIT 5: Un Marco de Negocio para el Gobierno
y la Gestión de las TI de la Empresa”.
Finalmente, los lectores pueden encontrar más información sobre la gestión de riesgos de la información, la seguridad de la
información y el aseguramiento de la información en las correspondientes guías profesionales de COBIT 5: COBIT 5 para
Riesgos, COBIT 5 para Seguridad de la Información y COBIT 5 para Aseguramiento.

13
1.5 Visión general y alcance
COBIT 5: Información Catalizadora se ocupa de las cuestiones y aspectos fundamentales de la información como
activo de empresa o como catalizadores de gobierno/gestión. Esta guía también analiza las prácticas de gobierno y
gestión de la información y los planes de catalizadores. La Figura-3 muestra, bien cómo y dónde COBIT 5:
Información Catalizadora trata estas cuestiones o bien si quedan fuera del alcance de esta guía, y define los conceptos
clave.

CAPÍTULO 1
INTRODUCCIÓN
Figura 3—COBIT 5: Información Catalizadora y Preguntas formuladas frecuentemente (FAQ)

15
Para proporcionar un enfoque estructurado a la información en esta guía, COBIT 5: Información Catalizadora está dividida
en cuatro capítulos y tres apéndices. A continuación se describe brevemente cada sección y cómo las secciones se
relacionan entre sí:
• Capítulo 1—Introducción
• Capítulo 2—Aplica los principios COBIT 5 a la información. Este capítulo:
− Demuestra la relación entre información y objetivos de la empresa utilizando los objetivos en cascada de COBIT 5.
− Diferencia los tipos de información, distinguiendo entre la información de negocio y la información relacionada con TI,
ilustrando ambas.
− Diferencia el gobierno de la información de su gestión.
− Muestra cómo la información encaja en la visión holística global de una empresa y sus partes constitutivas e introduce
el concepto de los catalizadores COBIT 5.
• Capítulo 3—Profundiza en el modelo de información que presenta el marco COBIT 5, y presenta múltiples ejemplos
sobre cómo aplicar el modelo a todos aspectos del gobierno y de la gestión de información.
• Capítulo 4—Profundiza en un número de los aspectos típicos de gobierno y gestión de información con los que se
encuentran las empresas, explica las cuestiones y su relevancia en el contexto de la empresa, y propone cómo COBIT 5 y
sus catalizadores pueden ayudar en su tratamiento.
• Apéndice A—Referencia otras guías relevantes.
• Apéndice B—Lista completa de elementos de información que están relacionados con todos los procesos de negocio.
• Apéndice C—Lista completa de elementos de información relacionados con TI, sus criterios clave y métricas
relacionadas.
COBIT 5: Información Catalizada pone su foco en el gobierno y la gestión de información a alto nivel y no tiene la
intención de:
• Asistir a las organizaciones mediante unas guías técnicas u operacionales sobre cómo crear un conjunto completo de datos,
elementos de información y artefactos o bases de datos, o sobre cómo operar los sistemas de almacenamiento. Estos
elementos dependen de políticas específicas de la empresa, de estándares de información y de especificaciones de
software.
• Ser completa en cualquier área específica de negocio, por ejemplo en modelos de datos específicos en un sector que
faciliten el intercambio de datos o de información.
Nota: Aunque el pensamiento estructurado puede llevar al desarrollo de buenas prácticas relativas a la información, los
procesos no son el foco de esta guía. Los procesos se encuentran documentados en COBIT 5: Procesos catalizadores.

CAPÍTULO 2
PRINCIPIOS DE COBIT 5 APLICADOS A LA INFORMACIÓN
CAPÍTULO 2
Este capítulo explica cómo los principios de COBIT 5 se aplican a la información e incluye:
• Los objetivos en cascada de COBIT 5, para explicar la creación de valores y cómo se relaciona con la información y los
demás catalizadores
• Información, un catalizador para la empresa en su conjunto a lo largo de toda la cadena de calor, ilustrada con detalles de
información para los procesos de negocio y la función de TI.
• Aclaraciones sobre los conceptos de gobierno de la información y gestión de la información.
2.1 Principios de COBIT 5

COBIT 5 está basado en cinco principios, como se muestra en la figura 4. Esta guía aplica los principios de COBIT 5 a la
información.
Principio 1: Satisfacer las necesidades de las partes interesadas —La empresa existe para crear valores para sus partes
interesadas manteniendo un equilibrio entre la obtención de beneficios, la optimización del riesgo y el uso de recursos.
COBIT 5 proporciona todos los procesos necesarios y otros catalizadores para apoyar la creación de valor empresarial
mediante el uso de las TI. Dado que cada empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5
para ajustarse a su propio contexto mediante los objetivos en cascada1, trasladando los objetivos de alto nivel de una
empresa a objetivos relacionados con las TI gestionables y específicos, y el mapeo de éstos a objetivos específicos de los
catalizadores.
COBIT 5: Catalizador de Información proporciona una visión de la empresa centrada en la información. La

información debe, en última instancia, apoyar el objetivo de cualquier empresa (entrega de valor a sus partes
interesadas) traduciéndose en objetivos que la empresa debe alcanzar. Los objetivos en cascada de COBIT 5 convierten
de forma más tangible los objetivos de la empresa en objetivos de los catalizadores, en este caso objetivos de calidad de
información.
Principio 2: Cubrir la empresa en su totalidad—COBIT 5 integra el gobierno de las TI de la empresa en el gobierno

corporativo:
• Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la “función de TI”, sino que
1
Los objetivos en cascada está basado en la investigación realizada en la University of Antwerp Management School IT Alignment and Governance Institute, en
Bélgica.

17
trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por
todos en la empresa.
• Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de
principio a fin, es decir, incluyendo a todos los elementos y personas –internos y externos– que sean relevantes para el
gobierno y la gestión de la información de la empresa y de las TI relacionadas
COBIT 5: Catalizador de Información proporciona un modelo sencillo de estructurar la información aplicable a todos los
tipos de información utilizados por la empresa, incluyendo información usada para funciones de negocio, información
interna para la función de TI e información externa.
Principio 3: Aplicar un Marco de Referencia único e integrado—Hay muchos estándares y buenas prácticas
relacionados con las TI, proporcionando cada uno soporte a un subconjunto de actividades de las TI. COBIT 5 se alinea , a
alto nivel, con otras normas y marcos relevantes, por lo que se puede usar como marco general único para el gobierno y la gestión
de las TI de la empresa.
COBIT 5: Catalizador de Información se alinea con el marco y el modelo de información incluido en COBIT 5. Es un
marco único que no sólo proporciona gobierno y gestión de la información efectivos, sino que además proporciona un
modelo de información único, aplicable a todos los tipos de información usados dentro de la empresa.
Principio 4: Posibilitar un enfoque holístico—El gobierno y la gestión eficiente y eficaz de las TI en entornos
empresariales (y en otros) requieren un enfoque holístico, teniendo en cuenta los distintos componentes que interactúan
entre sí. COBIT 5 define siete categorías de catalizadores que soportan la implementación de un completo sistema de
gobierno y gestión para las TI de la empresa. Los catalizadores se definen generalmente como cualquier cosa que ayude a
alcanzar los objetivos de la empresa:
• Principios, política y marcos de trabajo
• Procesos
• Estructuras organizativas
• Cultura, ética y conducta
• Información
• Servicios, infraestructura y aplicaciones
• Personas, habilidades y competencias
COBIT 5: Catalizador de Información se centra en la información. En esta guía, el catalizador de información se estudia e
ilustra más detalladamente que en la publicación COBIT 5: marco de referencia. Todos los otros catalizadores apoyan
también el catalizador de información.
Principio 5: Separar el Gobierno de la Gestión—El marco de COBIT 5 hace una clara distinción entre gobierno y
gestión, p. ej., abarcan diferentes tipos de actividades, requieren diferentes estructuras de organización y sirven a propósitos
diferentes.
COBIT 5: Catalizador de Información distingue entre el gobierno de la información y la gestión de la información en la

sección 2.1.5 Separar el Gobierno de la Gestión, más adelante en este capítulo.
2.1.1 Satisfacer las necesidades de las partes interesadas

Las empresas existen para crear valor para sus partes interesadas. Consecuentemente, una empresa (comercial o no)
tiene como objetivo de gobierno crear valor. Creación de valor significa obtener beneficios con un coste óptimo
de recursos mientras que se optimiza el riesgo (ver figura 5). Los beneficios pueden tomar diversas formas, p. ej.,
económicos para empresas comerciales y un servicio público de alta calidad para entidades gubernamentales.

CAPÍTULO 2
Las empresas tiene muchas partes interesadas, y “crear valor” puede significar cosas diferentes (y a veces
contradictorias) para cada una de las partes. El gobierno en la empresa trata de negociar y decidir sobre los
diferentes intereses de valores de las partes interesadas. En consecuencia, el sistema de gobierno debe tener en
consideración a todas las partes interesadas cuando toma decisiones sobre crear beneficios, riesgos y recursos. Para
cada decisión, se deben preguntar las siguientes cuestiones:
• ¿Para quién son los beneficios?

• ¿Quién asume el riesgo?
• ¿Qué recursos son necesarios?
Las necesidades de las partes interesadas deben ser transformadas en acciones concretas dentro de la estrategia de
empresa. Los objetivos en cascada de COBIT 5 son el mecanismo para traducir las necesidades de las partes
interesadas en objetivos específicos, viables y a medida para la empresa, para las TI, y para los catalizadores. Esta
adaptación permite a la empresa preparar objetivos específicos a cualquier nivel y en cada área, como apoyo a los
objetivos generales y a los requerimientos de las partes interesadas.

19
La Figura 6 muestra una extensión de los objetivos en cascada genéricos de COBIT 5. Los tres pasos en la cascada
de objetivos se explican en los siguientes párrafos.
PASO A. ELOBJETIVO DE GOBIERNO INFLUYE EN LOS OBJETIVOS DE LA EMPRESA

Las necesidades de las partes interesadas están influenciadas por diversos factores y motivos, p.ej., cambios de
estrategia, un negocio o entorno regulatorio cambiante y nuevas tecnologías.
Las necesidades de los inversores pueden estar relacionadas con un conjunto de objetivos de empresa genéricos.
Estos objetivos de empresa han sido desarrollados usando las dimensiones del cuadro de mando equilibrado (BSC)2,
y representan una lista de objetivos, normalmente usados, que una empresa puede definir para ella misma. Aunque
esta lista no es exhaustiva, la mayoría de los objetivos específicos de una empresa pueden asignarse fácilmente a uno
o más de los objetivos genéricos de empresa.
COBIT 5 define 17 objetivos genéricos, como se muestra en la figura 7, la cual incluye la siguiente información:
• Dimensiones BSC bajo las cuales se ajustan los objetivos de la empresa
• Objetivos de la empresa
• Relación con los tres principales objetivos de gobierno: obtención de beneficios, optimización del riesgo y
optimización de recursos. (“P” significa una relación primaria y “S” una relación secundaria, p.ej., una relación menos
fuerte.)
2
Kaplan, Robert S.;David P. Norton; The Balanced scorecard: Translating strategy into action, Harvard University Press, USA, 1996

CAPÍTULO 2
Las empresas deben definir sus propios objetivos específicos de empresa basados en las necesidades de sus partes
interesadas.
Figura 7—Objetivos generales de empresa (Marco de referencia COBIT 5)

Relación con objetivos de gobierno
Dimensión Obtención de Optimización de Optimización de
BSC Objetivo de empresa beneficios riesgos recursos
Financiera EG01. Valor para las partes interesadas de las Inversiones de Negocio P S
EG02. Cartera de productos y servicios competitivos P P S
EG03. Riesgo de negocio gestionado (salvaguarda de los activos) P S
EG04. Cumplimiento de leyes y regulaciones externas P
EG05. Transparencia financiera P S S
Clientes EG06. Cultura de servicio orientado al cliente P S
EG07. Continuidad y disponibilidad de los servicios de negocio P
EG08. Respuestas ágiles a entornos de negocio cambiantes P S
EG09. Toma de decisiones estratégicas basada en la información P P P
EG10. Optimización de costes de entrega de servicios P P
Interna EG11. Optimización de la funcionalidad de procesos de negocio P P
EG12. Optimización de los costes de proceso de negocio P P
EG13. Programas de cambio de negocios gestionados P P S
EG14. Productividad operativa y de los empleados P P
EG15. Cumplimiento de políticas internas P
Aprendizaje y EG16. Personal capacitado y motivado S P P
crecimiento
EG17. Cultura de innovación de producto y del negocio P
PASO B. LOS OBJETIVOS DE LA EMPRESA IMPULSAN LOS OBJETIVOS DE FUNCIÓN

La consecución de objetivos de la empresa requiere una serie de resultados exitosos de funciones básicas de negocio,
las cuales están representadas por los objetivos de función. Las funciones pueden incluir cualquier función de negocio,
p.ej., en la representación de la cadena de valores de una empresa, incluyen cualquier componente de la cadena de
valores como aparece ilustrado en la figura 6.
PASO C. LOS OBJETIVOS DE FUNCIÓN IMPULSAN LOS OBJETIVOS CATALIZADORES

Conseguir objetivos relacionados con la función de negocio requiere la exitosa aplicación y uso de una serie de
catalizadores. Los catalizadores son esos elementos o factores que influyen en la probabilidad de conseguir algo. La
figura 6 muestra los catalizadores para tres de las nueve funciones de negocio: función de compras, de recursos humanos
y de TI. El concepto de catalizador es válido para cualquier función de negocio, y está explicado con detalle en el marco
COBIT 5. Para cada catalizador, se deben definir un conjunto de objetivos relevantes específicos como apoyo a los
objetivos de función de negocio.
En los objetivos en cascada, todos los catalizadores (en este caso, Información) deben servir a uno o más objetivos de la
empresa y contribuir así a la provisión de valor en general a la empresa. El Capítulo 3, más adelante, explica
detalladamente los catalizadores.
2.1.2 Abarcando la empresa en su totalidad

Si bien los diferentes dominios de la empresa pueden tener vocabularios diferentes y especializados (algunos bastante
técnicos), la información es importante para toda la empresa, en todas las funciones de negocio y es transversal a todos
los dominios.
Los objetivos en cascada de la figura 6 muestran:

• Las funciones de negocio de compras, recursos humanos y TI ampliadas, ilustrando las funciones soportadas por
todos los tipos de catalizadores.
• La interconexión relevante en el contexto de la Información. Por ejemplo, cualquier Información que permite la
función de Operaciones o la función de Compras también requiere del catalizador de la función TI, es decir, las
compras y operaciones necesitan información proporcionada y procesada por la función de tecnología de la
información

21
• La función de TI, mientras da soporte a otras funciones de negocio también requiere de sus propios catalizadores, los
cuales incluyen información. Estos elementos de información3 son de diferente naturaleza comparada con la
información de negocio, es decir, son elementos de información específicamente tecnológica, pero que debe ser
considerada. Ejemplos de esto incluyen los registros de activos, registros de cambios y tickets de incidencias.
Cada proceso, dentro de la cadena de valor, está soportado por las mismas categorías de catalizadores, incluyendo al
catalizador de Información. En el caso de los procesos no tecnológicos, los elementos de información deben estar
basados en los dominios tradicionales del “negocio”, como son las ventas, la logística y el márqueting. Tengamos en
cuenta que todas esta áreas tienen su propia terminología técnica especializada, no entendible por los perfiles
generalistas en sus detalles. Estos elementos de información de negocio suele ser gestionados y soportados por TI, esto
es, por catalizadores COBIT 5 relativos a las TI, como se ha expuesto en puntos anteriores.
La figura 6 ilustra que los conceptos clave de COBIT 5 —objetivos en cascada y catalizadores— no solamente se
aplican a temas relacionados con los procesos tecnológicos y sus objetivos, si no que son aplicables a cualquier otro
proceso de negocio y sus objetivos relacionados. Además, el modelo de información de COBIT 5 puede servir a
cualquier tipo de información generada, procesada, comunicada, etc., por la empresa.
La información no es sólo un recurso para las funciones de negocio, sino que a menudo es una parte del
producto/servicio primario que la empresa produce, esto es, el resultado de un proceso de negocio.
2.1.2.1 Elementos de información específicos (de noegocio) que soportan los objetivos de función del negocio
El término ‘información’ da cabida a un amplio y variado espectro. Una forma de comprender este amplio espectro es
observar el uso clave y principal de un elemento de información en relación con toda la empresa.
La figura 8 muestra el propósito de la comunicación de la información entre las áreas claves de responsabilidad en la
empresa. Este flujo de información puede ser aplicado a cualquier área funcional de la empresa, o sea, a cualquier
proceso de negocio incluyendo el área de TI.
La figura también muestra los tipos de elementos de información fluyendo entre los diferentes niveles de la empresa,
por ejemplo, el órgano de gobierno requiere elementos de información adecuados para dar soporte a los esfuerzos para
establecer la dirección de la gestión.
La Figura 9 muestra ejemplos de elementos de información de negocio que dan soporte a los logros de los objetivos de
las funciones expandidas de Recursos humanos y Compras de la cadena de valor (mostradas en la figura 6) e identifica
si los elementos de información conciernen al órgano de gobierno, gestión, o bien a los niveles de operación y
realización o ejecución. La información se puede referir a cualquier flujo de comunicación representado dentro de la
figura 8, o sea, a información operativa generada/usada durante la operación y la ejecución. (Los elementos de
información que dan soporte a los logros de los objetivos de las funciones tecnológicas son tratadas en la sección 2.1.2.2
y mostradas en la figura 11).
Nota: El Apéndice B contiene una tabla exhaustiva de los elementos de información de negocio que dan soporte a la
consecución de los objetivos de todas las funciones de la cadena de valor mostradas en la figura 6 e identifica, los
niveles de la empresa entre los que los diferentes elementos de información fluyen durante la comunicación.
3
Un elemento de información es cualquier activo individual de información corporativa, o de gobierno y facilitador de gestión que tenga un set específico
definido de atributos. Las entradas y salidas de COBIT 5, como productos de trabajo de proceso o artefactos, pueden ser considerado elementos de información
cuando son vistos a través de los atributos de un catalizador de información. Otros ejemplos de elementos de información pueden verse en los apéndices B y C.
Consultar el apéndice H del marco de trabajo de COBIT 5 para una completa comprensión del glosario de COBIT 5.

CAPÍTULO 2
Figura 9—Ejemplos de Elementos de información en los Flujos de información que soportan los Objetivos de la
Cadena de Valor de la Empresa
Elementos clave (negocio) de Información requeridos para dar soporte a la Consecución de los Objetivos
Corporativos
Área Funcional Órgano de gobierno Gestión (Dirección) Operaciones y Ejecución

Recursos humanos (objetivos) • Estar informado de la asignación y la • Medidas correctivas para hacer • Plan de recursos aprobados
efectividad de recursos humanos y frente a las desviaciones en la • ·Matriz de puestos de trabajo
de competencias y aptitudes gestión de recursos (perfiles) y competencias
• Comunicaciones sobre • ·Planes de uso y funcionamiento • ·Situacion de incidencias e informe
presupuestos (seguimiento • ·Causas raíz de los errores de de tendencias
presupuestario) calidad en las entregas • ·Información salarial
• Requerir informes de situación de • ·Asignaciones presupuestarias • ·Informes de rendimiento
cumplimiento y de tendencias • ·Planificación y presupuestos de • Análisis de 360 grados sobre los
• Principios rectores para la recursos humanos resultados obtenidos
asignación de recursos humanos y • ·Planificación y presupuestos de TI
competencias • ·Comunicación de las políticas de
• Éxito de medidas aplicadas y sus asignación de recursos
resultados • ·Ratios de rotación de personal y su
• Información salarial (estado de relación con puestos de trabajo y
costes de personal por competencias
departamento o unidad de negocio) • ·Información salarial (tablas
salariales, análisis de costes del
personal)
• ·Análisis de 360 grados sobre los
resultados obtenidos
• Compras y adquisiciones (objetivos) • Casos de negocio • Requerimientos legales y • Información de proveedores
• Requerimientos legales y regulatorios • Requerimientos de información
regulatorios • Requerimientos contractuales • Requerimientos de propuestas
• Información sobre los bienes y • Información de proveedores • Propuestas
servicios requeridos para la • Requerimientos de información • Garantías
producción
• Requerimientos de propuestas • Términos contractuales
• Información sobre mantenimientos
• Ofertas y licitaciones para
requeridos, reparaciones y obtención
aprovisionamiemto
de suministros
• Garantías
• Estrategias de aprovisionamento
• Términos contractuales
• ·Estrategias de aprovisionamiento
Extraído del apéndice B figura 71
2.1.2.2 Elementos de Información, relacionados con las TI, que soportan los Objetivos de las Funciones de TI
La figura 6 nos muestra que la función de TI de la empresa es, también, soportada por los siete catalizadores, incluyendo
la Información.
El logro de los objetivos de negocio requiere de una serie de resultados relacionados con las TI, que están representados
por los objetivos relacionados con estas TI. (La locución “Relacionados con las TI” comprende la información y la
tecnología relacionada). Los objetivos relacionados con las TI se estructuran en función de las dimensiones del Cuadro
de Mando Integral de TI (IT BSC / CMI de TI). Los elementos de información que se requieren para apoyar el logro de
los objetivos relacionados con las TI están relacionados -a menudo internamente- con la función de TI. En el marco de
COBIT 5 se define un conjunto completo que comprende los 17 objetivos genéricos de alto nivel relacionados con TI,
estos objetivos se enumeran en la figura 10. Las empresas deben definir sus propios objetivos específicos basándose en
las necesidades de sus grupos de interés.
Figura 10—Objetivos genéricos relacionados con TI

Dimensión del CMI de TI Objetivo de información y tecnología relacionada
Financiera ITG01. Alineación de TI con la estrategia de negocio
ITG02. Cumplimiento de TI con las normas internas y soporte para el cumplimiento del negocio respecto al marco legal y regulatorio
externo
ITG03. Compromiso de la dirección ejecutiva para la toma de decisiones relacionadas con TI
ITG04. Riesgos de negocio relacionados con TI debidamente gestionados.
ITG05. Realización de beneficios por inversiones soportadas por TI y por el portfolio de servicios.
ITG06. Transparencia de los costos, beneficios y riesgos de TI

23
Figura 10—Objetivos genéricos relacionados con TI

Dimensión del CMI de TI Objetivo de información y tecnología relacionada
Cliente ITG07. Entrega de servicios de TI alineados con los requerimientos de negocio
ITG08. Uso adecuado de las aplicaciones, de la información y de las soluciones tecnológicas
Interna ITG09. Agilidad de TI
ITG10. Seguridad de la información, de la infraestructura de procesamiento y de las aplicaciones
ITG11. Optimización de los activos de TI, recursos y capacidades
ITG12. Habilitación y soporte de los procesos de negocio mediante la integración de las aplicaciones y la tecnología en los procesos
de negocio
ITG13. Entrega de los programas proporcionando los beneficios esperados, a tiempo, dentro del presupuesto, y cumpliendo los
requisitos y estándares de calidad
ITG14. Disponibilidad de información confiable y útil para la toma de decisiones
ITG15. Cumplimiento de TI con las políticas y normas internas
Aprendizaje y ITG16. Personal de la empresa en general y de TI competentes y motivados
Crecimiento
ITG17. Conocimiento, experiencia e iniciativas para la innovación empresarial
El modelo de habilitación por COBIT 5 se basa en siete catalizadores interconectados e interrelacionados (véase el punto
2.1.4 Posibilitar un enfoque holístico). Por lo tanto, el catalizador de Información no se sostiene por sí solo, sino que está
vinculado a los otros catalizadores, como en los siguientes ejemplos:
• Los procesos requieren información como insumos para procesar, y entregar información como salidas.
• Los servicios, infraestructuras y aplicaciones proporcionan los medios por los cuales se procesa la información.
• Las personas tratan la información de manera constante, en los procesos de negocio y en los procesos de TI.
Las descripciones de procesos de COBIT 5 - publicación COBIT 5: Procesos Catalizadores- muestran las entradas y
salidas asociadas en la práctica a cada proceso. Estas entradas y salidas forman un conjunto de elementos de
información necesarios para apoyar los objetivos relacionados con las TI.
La figura 11 muestra ejemplos de cómo cada objetivo relacionado con las TI puede ser soportado y/o favorecido por
elementos de información específicos (relacionados con las TI). La tabla contiene elementos de información de
ejemplo que favorecen o soportan los objetivos genéricos relacionados con las TI del marco COBIT 5 y:
• Criterios de calidad ilustrativos (explicados en el capítulo 3) para el elemento de información
• Métricas potenciales que pueden ser utilizadas para evaluar la calidad de la información
El Apéndice C contiene una tabla completa de los objetivos relacionados con las TI y los elementos de información
clave que favorecen el logro de esos objetivos. La Figura 11 ilustra un extracto de la tabla del apéndice C.
Nota: Los elementos Clave de Información que se requieren para lograr el objetivo relacionado con las TI, incluso
cuando se cumplan todos los criterios de calidad, no son suficientes. Conseguir el objetivo depende también del resto
de catalizadores relacionados.
La tabla no está completa y tiene como objetivo ilustrar el proceso mental que puede ser aplicado para usar la cascada
de objetivos para el catalizador de Información.

CAPÍTULO 2
Figura 11—Elementos de Información que soportan los Objetivos relacionados con las TI
Elementos clave de
información que favorecen
Objetivos genéricos el logro del objetivo Criterios ilustrativos de
relacionados con las TI relacionado con las TI Calidad Métricas relacionadas
ITG01 Alineación de las TI Plan estratégico de TI • Actualidad Tiempo transcurrido desde la última actualización del plan
con la estrategia de estratégico de TI
negocio Estrategia de la • Integridad Porcentaje de Objetivos relacionados con las TI que se
empresa traducen en posibles programas (road map) de inversión en TI
Tipos y criterios de inversión • Reputación, Comparación de la composición del portfolio de inversiones
• Credibilidad contra otros del sector (informes de análisis de la industria
• Relevancia correspondiente)
Informes de rendimiento • Precisión Facilidad de lectura y comprensión por las partes interesadas
• Actualidad
• Representación concisa
• Relevancia Satisfacción de los interesados con el alcance del portfolio de
• Integridad programas y servicios
ITG02 Cumplimiento de TI • Registro de requisitos • Precisión Costo del incumplimiento por parte TI, incluyendo acuerdos,
con las normas de cumplimiento • Integridad penalizaciones e impactos de la pérdida de reputación
internas y soporte relacionados con las • Actualidad
para el cumplimiento TI • Precisión Número de asuntos de incumplimiento relacionados con TI
del negocio respecto • Informes de • Integridad
al marco legal y aseguramiento del reportados al Comité de Dirección o que hayan causado
• Actualidad publicidad negativa en medios de comunicación
regulatorio externo cumplimiento • Representación concisa
• Interpretabilidad
• Precisión Número de problemas de incumplimiento en relación con los
• Integridad acuerdos contractuales con proveedores de servicios de TI
• Actualidad
• Precisión Cobertura y alcance de las evaluaciones de cumplimiento
• Integridad
• Actualidad
Extracto del apéndice C, figura 72
Nota: Consulte el apéndice C para una tabla completa de los elementos de información típicos que favorecen la
consecución de los 17 objetivos relacionados con las TI de la cascada de objetivos COBIT 5
2.1.3 Aplicación de un marco de referencia único e integrado

COBIT 5: Catalizador de Información se alinea con el marco COBIT 5 y con el modelo de información incluido en
COBIT 5, aportando así un marco único que no sólo proporciona la gobernanza eficaz de la información y la gestión de la
información, sino también la gobernanza global y la gestión de las TI corporativas.
Otro marco importante en el área de gestión de la información es el Cuerpo de Gestión de Datos del Conocimiento
(DMBOK), patrocinado por la Asociación de Gestión Internacional de Datos (DAMA), la organización profesional
principal que se especializa en el área de la gestión de datos e información. En comparación con DMBOK, COBIT 5:
Catalizador de Información no proporciona la misma cantidad de detalle, pero los conceptos clave en ambos marcos se
alinean bien y sin contradicciones, por lo que estos marcos pueden ser considerados complementarios. En el apéndice A
se puede encontrar más información sobre cómo ambos marcos se complementan entre sí y su comparación entre ellos
2.1.4 Posibilitar un enfoque holístico

La gobernanza y la gestión eficiente y eficaz de las TI en entornos empresariales (y en otros) requieren un enfoque
holístico, teniendo en cuenta los distintos componentes que interactúan entre sí. COBIT 5 define un conjunto de
catalizadores para apoyar la implementación de un sistema integral de la gobernanza y la gestión de las TI corporativas.
Los catalizadores son factores que, individual y colectivamente, influyen en algo que va a funcionar —en este caso, la
gobernanza y la gestión a través de las TI corporativas. Los catalizadores son impulsados por la cascada de objetivos, por
ejemplo, los objetivos de alto nivel relacionados con las TI definen lo que los distintos catalizadores deben lograr. El
marco COBIT 5 define siete categorías de catalizadores, como se muestra en la figura 12.

25
2.1.4.1 EL MODELO CATALIZADOR DE COBIT 5

Los catalizadores de COBIT 5, tal como podemos ver en la figura 12, son aplicables en la práctica y se pueden
utilizar para implementar un gobierno de la información eficaz y eficiente, así como una gestión adecuada de la
información en la empresa.
Todos los catalizadores definidos en COBIT 5 tienen un conjunto de dimensiones comunes que se ilustran en el
modelo catalizador de COBIT 5 (figura 13). Estas dimensiones:
• Proporcionan una manera simple y estructurada para manejar los catalizadores.
• Permiten a las empresas gestionar sus complejas interacciones.
• Facilitan la obtención de los resultados esperados de los catalizadores.

CAPÍTULO 2
2.1.4.2 DIMENSIONES DE LOS CATALIZADORES DE COBIT 5

Las cuatro dimensiones comunes de los catalizadores son:
• Las partes interesadas (Interesados y/o Grupos de Interés)—Cada catalizador tiene grupos de interés (partes que
juegan un rol activo y/o tienen un interés en el catalizador). Por ejemplo, los procesos tienen diferentes participantes y/o
interesados que realizan actividades y/o tienen un interés en los resultados del proceso; Las estructuras organizativas
tienen partes interesadas —cada una con sus propias funciones e intereses— que forman parte de esas estructuras. Las
partes interesadas pueden ser internas o externas a la organización, todas con sus propios —y a veces contradictorios—
intereses y necesidades. Las necesidades de los grupos de interés se traducen en objetivos corporativos, que a su vez se
traducen en objetivos de TI para la empresa
• Objetivos—Cada catalizador tiene una serie de objetivos, conformados por los resultados esperados. Los catalizadores
proporcionan valor mediante el logro de estos objetivos. Los objetivos de los catalizadores son el último paso en la
cascada de objetivos de COBIT 5. Los objetivos se pueden dividir en diferentes categorías:
– Calidad intrínseca—Medida en que los catalizadores trabajan de manera precisa, objetiva y proporcionan resultados
precisos, objetivos y de confianza
– Calidad contextual—Medida en que los catalizadores y sus resultados son aptos para el propósito dado el contexto en el
que operan. Por ejemplo, los resultados deben ser relevantes, completos, actuales, apropiados, consistentes,
comprensibles y fáciles de usar.
– Access and security—Accesibilidad y seguridad—Medida en que los catalizadores y sus resultados son accesibles y
seguros, como:
• Los catalizadores están disponibles cuando, y si, se necesitan.
• Los resultados son asegurados, es decir, el acceso está restringido a aquellos autorizados y que lo necesitan.
• Ciclo de vida—Cada catalizador tiene un ciclo de vida, desde el comienzo pasando por su vida útil/operativa hasta su
eliminación. Esto es aplicable a información, estructuras, procesos, políticas, etc. Las fases del ciclo de vida consisten en:
– Planificar (incluye el desarrollo y selección de conceptos)
– Diseñar
– Construir/adquirir/crear/implementar
– Utilizar/operar
– Evaluar/monitorear
– Actualizar/eliminar
• Buenas prácticas—Para cada uno de los catalizadores, se pueden definir buenas prácticas. Las buenas prácticas soportan
la consecución de los objetivos del catalizador. Las buenas prácticas proporcionan ejemplos y sugerencias sobre cómo
implementar de la mejor manera el catalizador y qué productos o entradas y salidas son necesarios. Una vez estas buenas
prácticas están correctamente ajustadas y adecuadamente integradas en la empresa, pueden convertirse, mediante el
seguimiento de los cambios en las necesidades de negocio y un control adecuado, en unas mejores prácticas para la
empresa.
En el capítulo 3, Modelo Catalizador de Información se explica con más detalle y se ilustra con varios ejemplos.

27
2.1.5 Separar el Gobierno de la Gestión

El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes
tipos de actividades, requieren estructuras organizativas diferentes y sirven para diferentes propósitos. La posición de
COBIT 5 sobre esta fundamental distinción entre gobierno y gestión se explica en los párrafos siguientes.
2.1.5.1 GOBIERNO DE LA INFORMACIÓN Y GESTIÓN DE LA INFORMACIÓN. DEFINICIONES

Los términos gestión de la información y gobierno de la información son utilizados muy a menudo de forma
intercambiable o bien se utilizan para describir actividades muy similares. Esta guía se centra en la distinción entre el
gobierno y la gestión, y no en la menos clara diferencia entre datos e información. Por ello, en esta guía se utilizan de
forma diferenciada los términos gobierno de la información y gestión de la información.
2.1.5.2 GOBIERNO DE LA INFORMACIÓN

COBIT 5 define la gobernabilidad como:
El gobierno asegura que las necesidades de las partes interesadas, las condiciones y las opciones son evaluadas
para determinar de forma equilibrada y consensuada los objetivos a conseguir, estableciendo una dirección
mediante la priorización y la toma de decisiones, monitoreando el rendimiento y el cumplimiento (conformidad)
respecto a la dirección y objetivos acordados.
Esta definición refleja el modelo contenido en ISO/IEC 38500, basado en la gobernanza, estando representadas las
tres actividades clave del modelo: evaluar, dirigir y controlar. El control, en el contexto de la gobernanza, significa
asegurar que los resultados del control y del monitoreo se consiguen como soporte de la dirección establecida y de
los objetivos esperados.
DMBOK define el gobierno de los datos como:

Gobernabilidad de Datos es el ejercicio de autorizar y controlar la planificación, la supervisión y el control en
la gestión y el uso de los datos. El gobierno de los datos es, a alto nivel, la planificación y el control sobre la
gestión de los activos de datos. La función de gobierno de los datos dicta cómo deben ser realizadas todas las
demás funciones de gestión de datos.4
Las definiciones de COBIT 5 y DMBOK no están alineadas por completo, algunas actividades de gobierno en las
definiciones de DMBOK se consideran actividades de gestión en COBIT 5, por ejemplo, la planificación es una
actividad de gestión de COBIT 5, mientras que la supervisión y el cumplimiento, en función del contexto, pueden ser
actividades de gestión o estar consideradas como actividades de gobierno.
Basándonos en las descripciones anteriores y siguiendo alineados con la definición general de la gobernanza en
COBIT 5, el gobierno de la información se puede describir de la siguiente manera.
El gobierno de la información garantiza que:

• Las necesidades de las partes interesadas, las condiciones y las opciones son evaluadas para determinar, de forma
equilibrada y consensuada, los objetivos empresariales a conseguir mediante la adquisición y la gestión de recursos
de información.
• Se ha fijado una dirección para las capacidades y funciones de gestión de la información mediante el establecimiento
de prioridades y la toma de decisiones.
• El rendimiento y cumplimiento (conformidad) de los recursos de información son monitoreados respecto a los
objetivos y dirección acordados.
Las actividades de gobierno de la información incluyen:

• La comunicación de políticas, estrategias de información, normas, estándares, arquitectura y métricas
• El seguimiento y la vigilancia del cumplimiento regulatorio y de la conformidad con las políticas de información,
estándares, arquitectura y procedimientos.
• El patrocinio, el seguimiento y la supervisión de la entrega y la ejecución operativa de los programas de gestión de la
información.
• Proporcionar una comprensión, basada en las necesidades de las partes interesadas, de las decisiones y prioridades
asociadas a los recursos de información.
4
Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009

CAPÍTULO 2
2.1.5.3 GESTIÓN DE LA INFORMACIÓN

La gestión de la información la encontramos como una o más áreas de práctica en muchas organizaciones, con diferentes
nombres, tales como arquitectura de datos, gestión de administración de datos, administración de datos, administración
de base de datos, almacenamiento de datos, datos / información, inteligencia de negocios (BI) y análisis, arquitectura de
la información, gestión de recursos de información, arquitectura de la empresa, gestión de contenidos empresariales, y / o
la gestión de registros empresariales.
A los efectos de esta guía, la gestión de la información abarca la gestión de los datos estructurados y no estructurados, en
formato electrónico, papel u otros tipos de medios. Puede comprender partes de la gestión del conocimiento como una
capacidad organizativa formal.
COBIT 5 define la gestión como:

La gestión planifica, construye, ejecuta y controla actividades, de manera alineada con la dirección establecida por
los órganos de gobierno, para alcanzar los objetivos de negocio.
En esta definición, "controla" representa el seguimiento de que las actividades de gestión se están llevando a cabo como
se esperaba, en alineación con la planificación, la construcción y las actividades de gestión.
DMBOK define la gestión de datos como:

La planificación y ejecución de las políticas, prácticas y proyectos que adquieren, controlan, protegen, entregan y
mejoran el valor de los datos y activos de información.5
Ambas definiciones están alineadas, aunque la definición de COBIT 5 hace hincapié en que la gestión tiene que alinearse
con la dirección establecida por el órgano de gobierno.
Sobre la base de las descripciones anteriores, siguiendo alineados con la definición general de la gestión en COBIT 5, la
gestión de la información se puede describir de la siguiente manera.
Los planes de gestión de la información, construyen, ejecutan y supervisan las prácticas, los proyectos y las
capacidades que adquieren, controlan, protegen, entregan y mejoran el valor de los datos y de los activos de
información, en alineación con la dirección establecida por el órgano de gobierno de la información.
5
Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009

29

CAPÍTULO 3
MODELO DE INFORMACIÓN DE COBIT 5
CAPÍTULO 3
En el capítulo 2, se estableció que la información es relevante en todos los ámbitos de la empresa, y para cualquier
proceso de negocio. De esta afirmación surgen las siguientes cuestiones:
• ¿Cómo deben tratar la información las empresas?
• ¿Qué deben tener en cuenta los profesionales de la información para que la información aporte valor a la empresa?
Estas cuestiones se abordan en el modelo de información de COBIT 5. Este modelo fue desarrollado originalmente en
la publicación del marco de referencia COBIT 5 y cubre todos los tipos de información para empresas de cualquier
tamaño y clase. En la Figura 14 se enumeran los usos prácticos de este modelo para las diferentes partes interesadas.
Figura 14—Uso práctico del Modelo de Información
Auditoría y Cumplimiento Interno,

Comité de Dirección y Dirección
Propietarios de los Procesos de
Arquitectos de TI, Desarrollo de
Seguridad de TI, Continuidad y

Profesionales de la Privacidad
Ejecutiva (CEO, COO, CFO)
Arquitectos Empresariales,
CIO y Alta Dirección de TI
Encargado de los Datos
Gestión de Riesgos
Operaciones de TI
Soluciones de TI
Negocio
Uso Práctico del Modelo de Información por las Partes Interesadas
Definir y asignar la responsabilidad e imputabilidad en las diferentes etapas del ciclo
de vida de información, por ejemplo, durante la planificación, diseño, construcción,   
tratamiento, control, almacenamiento y eliminación de información sensible
Definir criterios de calidad para la información a través de diferentes objetivos de
calidad, por ejemplo, relevancia, integridad, restricción de acceso    
Definir todos los atributos de los elementos de información necesarios para un
diseño eficiente y eficaz, así como para el desarrollo y uso de la información por las    
diferentes funciones dentro de la empresa
Conocer qué elementos de información (y su criticidad) se gestionan mediante las
aplicaciones que están en operación y soportadas    
Conocer qué elementos de información se gestionan mediante las aplicaciones que
están en operación y soportadas y garantizar que se gestionan de acuerdo a su      
importancia/criticidad
Vincular los requerimientos de seguridad y disponibilidad con el amplio concepto de
criterios de calidad de información a través de un conjunto de 15 objetivos de calidad     
Definir todos los atributos de los elementos de información necesarios para la
protección eficiente y eficaz de la información  
3.1 Visión general del Modelo de Información de COBIT 5

El Modelo de Información de COBIT 5 (figura 15) se basa en el modelo genérico de catalizadores de COBIT 5
(como se explicó en el capítulo 2). En este capítulo, se analiza en detalle y se ilustra con ejemplos cada una de las
cuatro dimensiones de los catalizadores de la Información.
3.1.1 Partes Interesadas

Las partes interesadas pueden ser internas o externas a la empresa. El modelo genérico sugiere que, además de
identificar a las partes interesadas, sus intereses deben ser identificados, por ejemplo, ¿por qué les preocupa o están
interesados en la información?
Las partes interesadas pueden clasificarse según el papel que juegan en el tratamiento de la información, que puede ir
desde funciones específicas (por ejemplo, funciones concretas de tratamiento de datos o información como arquitecto,
propietario, encargado, administrador, proveedor, beneficiario, modelador, director de calidad o director de seguridad)
a roles de carácter más general, por ejemplo, distinguiendo entre productores de información, custodios de
información y consumidores de información, de la siguiente manera:

31
• Productor de información – Responsable de la creación de la información6

• Custodio de información – Responsable de almacenar y mantener la información.
• Consumidor de información – Responsable de utilizar la información.
Esta clasificación se refiere a actividades específicas con respecto a los recursos de información. Las actividades
dependen de la fase del ciclo de vida de la información. Por lo tanto, para encontrar una clasificación de roles, con un
nivel adecuado de granularidad para el modelo de información, y para asegurar la coherencia interna, se puede utilizar la
dimensión del ciclo de vida en el modelo de información.
Esto significa que los roles de las partes interesadas en la información se pueden definir en términos de las fases del ciclo
de vida de la información, p.ej.:
• Planificadores de la información
• Adquirentes de información
• Usuarios de la información
La dimensión de información de las partes interesadas no es una dimensión totalmente independiente; diferentes fases
del ciclo de vida tienen diferentes partes interesadas. Una característica adicional de este enfoque de definición de los
roles de las partes interesadas en cuanto a las fases del ciclo de la información es el concepto propuesto y utilizado con
frecuencia de "solicitud de información" y "suministro de información".7
Mientras que los roles relevantes dependen de las fases del ciclo de vida de la información, los intereses se pueden
relacionar con las objetivos de la información. Las partes interesadas, es decir, las personas o estructuras organizativas
que asumen los roles de las partes interesadas incluyen a toda la empresa, p.ej. el personal, los clientes, los auditores, los
proveedores de servicios de TI internos o externos, socios de negocios y los reguladores.
6
En este contexto, debe tenerse en cuenta que se utiliza a menudo el concepto ‘propietario de la información’. ‘Productor de información’ incluye al titular
de los datos, quien es en última instancia responsable de la existencia de los tipos de elementos de información, así como otros roles que intervienen en la
creación de los elementos de información actuales.
7
Algunos autores sugieren que estos dos conceptos son equivalentes a los ámbitos de 'negocio' y 'TI' de una organización, pero esta guía no acepta
completamente este enfoque. La información actual determina cual es la parte solicitante y cual la proveedora. La parte de negocio puede ser demandante de
alguna información, pero, al mismo tiempo, proveedor de otra información. La función de TI proporciona servicios de TI, p.ej. el uso de aplicaciones y
fuentes de datos asociadas, al negocio, a partir de los cuales el negocio deriva la información. Así que hay una relación demanda-oferta-uso entre el negocio
(demanda / uso) y TI (oferta), con respecto a los servicios de TI, pero no con respecto a la información (que no sea información de los servicios de TI).
Dentro de la empresa, hay tanto demanda, como oferta, como uso de la información. La función de TI también necesita información para apoyar sus propias
actividades, existiendo también la demanda, la oferta y el uso de la información.

CAPÍTULO 3
3.1.1.1 ELEMENTOS DE INFORMACIÓN Y SU RELACIÓN CON LAS PARTES INTERESADAS EN LA
INFORMACIÓN Los siguientes ejemplos contienen algunos elementos de información de las partes interesadas y sus
relaciones con las partes interesadas en la información. Se identifica y describe a las partes interesadas en las diferentes
etapas del ciclo de vida de un elemento de información a medida que este fluye a través de la empresa. Se proporcionan
ejemplos para los siguientes elementos de información de las partes interesadas:
• Datos de clientes—Ver la figura 16.
• Estrategia de TI—Ver la figura 17.
• Documento de especificaciones de software de la cadena de suministro—Ver la figura 18.
• Registro de pacientes de un hospital—Ver la figura 19.
Figura 16—Partes interesadas en la información de los datos de clientes

Parte Interesada Interna/Externa Descripción/Interés
• Ventas y • Los datos de clientes son quizás la información más valiosa de una empresa moderna y puede tomar diversas
marketing formas en función de su uso. Tanto los departamentos de ventas como de marketing son las principales
• Otras funciones partes interesadas, pero prácticamente cualquier función de la empresa puede establecer contacto con datos
empresariales I de clientes de un modo u otro.
• El origen de los datos de clientes se presenta en múltiples formas. La entrada diaria de datos por diferentes
funciones organizativas puede capturar los datos de clientes o de potenciales clientes a través de varios
canales y relacionados con diferentes funciones: marketing, ventas, cobros o soporte.
Arquitecto de • Es raro que una empresa pueda realizar el diseño de los datos de clientes desde el principio, ya que
información prácticamente cualquier empresa desde su creación tiene la necesidad de realizar un seguimiento de los
datos del cliente de algún modo. Los asuntos más típicos para estos datos en particular son la integración y
los problemas de conciliación: conciliar marketing con los datos de ventas, las ventas con las cuentas a cobrar
I
o las cuentas a cobrar con el servicio de atención al cliente.
• Las soluciones de gestión de datos maestros pueden constituir una parte importante en un diseño de
arquitectura de datos integrados, destinado a alinear los diferentes repositorios de datos de clientes. Las
métricas de calidad de los datos son esenciales.
Seguridad de la La clasificación de seguridad de los datos de los clientes es fundamental. Algunos de los datos más críticos de
información I clientes (por lo general los datos de identificación personal o datos relacionados con la salud) están regulados. Y
puede ser muy perjudicial tanto para la empresa como para el cliente si no son tratados adecuadamente.
Propietarios de los Los propietarios de los datos supervisan los datos de clientes para alcanzar los niveles de calidad deseados.
datos I
Auditoría • Los auditores se preocupan tanto por la seguridad de los datos de clientes como por su correcta eliminación y
I/E llevan a cabo pruebas que aseguren el cumplimiento tanto de las regulaciones externas como de las políticas
internas.
Clientes Los clientes tienen el derecho de solicitar información acerca de sus datos, solicitar cambios y solicitar su
I/E eliminación.
Reguladores de Los reguladores tienen interés en los datos de clientes desde una perspectiva de privacidad y seguridad.
privacidad E
Figura 17—Partes interesadas en la Información de Estrategia de TI

Parte interesada Interna/Externa Descripción/Interés
Consejo de Establece las objetivos y objetivos de la empresa, que sirven de base para la estrategia de TI y las objetivos y
I
administración objetivos de TI.
Director de I Define la estrategia de TI y la hoja de ruta, en base a las objetivos y objetivos de la empresa.
Gestión de TI La estrategia de TI define las prioridades y establece la dirección de los servicios de TI y de las actividades que
I
debe realizar y gestionar el área de TI.
Arquitectos Los arquitectos empresariales utilizan la estrategia de TI como un aporte en la búsqueda de oportunidades de
I
empresariales innovación, alineándolo con la arquitectura empresarial.
Usuarios La estrategia de IT debe de ser comunicada a todos los usuarios para que tomen conciencia y comprendan los
I
objetivos y prioridades de TI.
Auditoría Los auditores realizan pruebas para asegurar el cumplimiento tanto de las regulaciones externas como de las
I/E
políticas internas y necesitan información sobre la estrategia de TI de la organización para estas
comprobaciones.
Proveedores Los proveedores podrían estar interesados en ver como los servicios que ofrecen se ajustan a la estrategia de TI
I/E
de la organización y como pueden aportar valor al negocio a través de TI.
Clientes Los clientes podrían tener un interés en la estrategia de TI de la organización, por ejemplo cuando la seguridad
E de las transacciones es muy importante, se entregan servicios en línea o se espera el lanzamiento de servicios
innovadores.

33
Figura 18—Partes Interesadas en la información de los Documentos de Especificaciones de Software de Cadena de Suministro
Gestión de la cadena El gestor de la cadena de suministro debe estar involucrado en la definición de las especificaciones de negocio
de suministro I y funcionalidades de las nuevas herramientas de software que se desarrollan. Estas especificaciones deben
quedar documentadas en el documento de especificaciones.
Arquitectos Los arquitectos empresariales y de información deben participar en la definición de las especificaciones técnicas
empresariales y de I de software para asegurarse de que el diseño se alinea con la arquitectura empresarial.
información
Colaboradores Los desarrolladores externos tienen que ajustar con precisión el diseño de software basado en las
externos de desarrollo E especificaciones técnicas y de negocio que fueron definidas por TI y el gestor de la cadena de suministro.
de TI
Usuarios Los usuarios del software de la cadena de suministro necesitan esta información para poder comprender las
I/E
especificaciones y funcionalidades del nuevo software y poder utilizarlo.
Colaboradores Los colaboradores externos a menudo tienen interfaces o dependencias con la cadena de suministro de la
externos de cadena E organización. Tienen que ser conscientes del uso del nuevo software y de las restricciones u oportunidades que
de suministro conlleva.
Auditoría Los auditores tienen que ser conscientes de las especificaciones de software para entender como apoya a los
I/E
procesos de negocio, qué dependencias existen y qué resultados se esperan.
Figura 19—Partes Interesadas en la Información de Registros Médicos de Pacientes

Médicos Los médicos introducen información en los registros médicos de los pacientes para proporcionar una atención
I
óptima y cumplir con todos los requisitos legales y contractuales.
Arquitectos y Los arquitectos de TI diseñan los registros médicos de los pacientes dentro del sistema de TI y definen las
desarrolladores de TI I interfaces para las aplicaciones. Los desarrolladores de TI construyen o adquieren las soluciones técnicas con o
sin el apoyo de proveedores externos.
Encargado de los El administrador de datos garantiza la transparencia en cuanto al uso de los datos; la participación de las
datos personas en el uso de los datos de salud; adhesión a las políticas de privacidad y confidencialidad, principios y
I
prácticas; asegura la correcta administración o las correctas garantías administrativas, técnicas y físicas; y
proporciona los mecanismos de rendición de cuentas, cumplimiento y corrección según sea necesario.
Seguridad de la Seguridad de la información debe garantizar que los registros médicos de los pacientes son seguros
información I (garantizando que son precisos, fiables y están disponibles cuando se solicitan) y que la información es tratada,
almacenada y eliminada de acuerdo a las políticas y normativas.
Personal sanitario y El personal sanitario y el de control de calidad prueban las soluciones para determinar si cumplen con todos los
de control de calidad requisitos y criterios de calidad. Durante la operacion, necesitan asegurarse de que la calidad de las entradas
I
siga siendo adecuada. El personal médico decide cuando la información puede ser eliminada en función de los
requisitos legales o contractuales que le sean de aplicación.
Operaciones de TI I Operaciones de TI aseguran que los sistemas y la información se mantienen operativos.
Pacientes El bienestar de los pacientes depende de la exactitud de los registros médicos. Los pacientes tienen interés en
E
que los historiales clínicos sean seguros, precisos y confiables y que estén disponibles cuando se necesiten.
Compañías de Las compañías aseguradoras procesan información personal y de registros médicos para proporcionar los
E
seguros médicos beneficios del seguro a sus clientes cuando y como sea conveniente.
Reguladores Los reguladores tienen interés en la historia clínica del paciente desde una perspectiva de protección de datos y
E
seguridad.

CAPÍTULO 3
3.1.2 Objetivos
Los objetivos de la información se expresan como los criterios de calidad que deben alcanzarse. Estos criterios se
dividen en tres subdimensiones por lo que respecta a la calidad: intrínseca, contextual y seguridad/accesibilidad. Cada
subdimensión se divide en varios criterios de calidad, que se definen en la figura 20.

35
3.1.2.1 Ejemplo de objetivos de la calidad de la información

En la Figura 21 se enumeran todos los objetivos y submetas de calidad con sus descripciones y se analizan brevemente o se
proporciona un corto ejemplo.
Figura 21—Análisis y Ejemplos de los Objetivos de Información/Criterios de Calidad
Objetivos/Submetas Descripción: Grado en

de Calidad que… Ejemplo(s)
Intrínseco/precisión la información es • Datos de clientes: ¿Es correcta la dirección del cliente?
correcta y confiable. • Registros médicos: ¿Es correcto el historial clínico del paciente? ¿Ha sido validado?
Intrínseco/objetividad la información es La objetividad es una meta de calidad muy importante para los elementos de información que sirven de
objetiva, sin prejuicios e base para la toma de decisiones empresariales. Ejemplos de ello son los casos de negocios,
imparcial. evaluación de riesgos e informes de auditoría.
Ejemplo: Podemos asumir que la información del cliente incluye su solvencia o su reputación. Esta
información debe ser objetiva y no estar basada simplemente en juicios o valoraciones personales.
Intrínseco/credibilidad la información es La credibilidad a menudo se relaciona con información altamente agregada, por lo general en los flujos
considerada como de gobierno. Ejemplos: análisis de riesgos, análisis de la competencia y las previsiones del mercado
verdadera y creíble. son elementos de información típicos donde la credibilidad es una meta de calidad clave.
Intrínseco/reputación la información es tomada La reputación podría comprometer seriamente el valor de un elemento de información, por ejemplo, en
en alta consideración en el caso de una fuente de información con una mala reputación es menos probable que la información
términos de su origen o sea utilizada en todo su potencial. Ejemplo de resultado de la mala reputación: "No confío en el
contenido. sistema CRM, ya que no está alineado con el sistema de cuentas a cobrar. Tienes que encontrar
manualmente el cliente en ambos lugares y cambiar la dirección en ambos lugares, además el nombre
ni siquiera es el mismo".
Contextual/relevancia la información es La relevancia es un atributo importante en los procesos de planificación y arquitectura. Debe realizarse
aplicable y útil para la la distinción entre los datos relevantes e irrelevantes, siempre teniendo en cuenta el contexto/propósito
tarea a realizar. de la información. Incluir la información que sirve a un propósito y evitar la inclusión de la información
"porque podemos hacerlo". Ejemplo de resultado de información que no es relevante: "No sé por qué
estamos recopilando y manteniendo el apodo del cliente; no se usa en ningún informe y sólo está
completado en un 0,01% de la base de datos".
Contextual/exhaustividad la información no La exhaustividad es una de las métricas de calidad de datos frecuentemente cuantificada. Podría
tiene carencias y su hacerse cumplir a través de los mecanismos del sistema, pero el riesgo aumenta si las exigencias de
nivel de detalle es exhaustividad merman su valor ocasionando retrasos en la entrada de registros. Ejemplo: Recoger
suficiente para la sólo el nombre y el teléfono del cliente cuando se trata de una perspectiva de ventas. Pedir su
tarea en cuestión. dirección en ese momento podría resultar inapropiado.
Ejemplos de resultado de información incompleta:

• "El sistema me obliga a introducir la dirección del cliente pero a menudo el equipo de ventas no la ha
proporcionado, de modo que el pedido se queda en mi escritorio mientras persigo esa dirección. A
veces esto ralentiza todo el proceso".
• "Es opcional añadir el código postal; siempre ha sido así. Esto podía tener un sentido hace mucho
tiempo, pero hoy en día no hay ninguna buena razón para no disponer del código postal. Realizamos
un informe de calidad de datos y alrededor de un 5 por ciento de los registros aún no tienen los
códigos postales. No podemos enviar correo comercial a esas personas. Periódicamente
contrastamos esas direcciones con el fichero general de servicios postales, pero unos meses más
tarde, estamos de nuevo con registros incompletos".
Contextual/vigencia la información está lo La información que no está actualizada puede indicar que hay un retraso en los procesos o, también,
suficientemente puede ser causa de demoras, errores operativos o de toma de decisiones sobre una base equivocada.
actualizada para la Ejemplos:
tarea en cuestión. • ‘Tenemos registros de clientes que no muestran ninguna actividad en diez años. Sabemos que a
mayor antigüedad del registro, mayor probabilidad de no disponer de la dirección correcta’.
• ‘Cuando se registra una incidencia en el centro de soporte de TI se realiza el seguimiento de cuánto
tiempo permanece abierta. Cualquiera que supere las 36 horas sin ninguna actualización, se marca.
Normalmente esto indica un error de entrada de datos en el seguimiento de la incidencia’.
Contextual/cantidad el volumen de La cantidad de datos presentados tiene dos aspectos: el número de registros presentados y el número
apropiada información es el de atributos por registro, todos en relación con el propósito que nos ocupa.
adecuado para la • Ejemplo de resultado de cantidad inadecuada: 'Ese informe tiene todos los datos que se necesitan,
tarea a realizar. pero es imposible de entender sin tener que pasar página a página a través de datos innecesarios’.
• Ejemplo de resultado de cantidad adecuada: ‘Es un conjunto enorme de datos pero estamos
utilizando técnicas de representación de última generación de modo que puedes ver lo que sucede y
donde están los puntos críticos’.
Contextual/ la información se Por lo general, la decisión de la cantidad de datos a presentar es una cuestión de usabilidad, diseño de
representación concisa representa de forma pantalla y/o diseño de informes. Ejemplo de resultado de representación que no concisa: "No soporto
compacta. el diseño de la pantalla de cliente en este ERP antiguo. Los desarrolladores incluyeron 50 atributos en
una pantalla y es imposible de hacer nada".

CAPÍTULO 3
Figura 21— Análisis y Ejemplos de las Objetivos de Información/Criterios de Calidad (cont.)

Objetivos/Submetas Descripción: Grado en
de Calidad que… Ejemplo(s)
Contextual/ la información se La consistencia es a menudo un problema cuando los datos se replican a través de dos repositorios.
representación presenta en el mismo • Ejemplo de resultado de la representación inconsistente: "Disponemos de una entrada de códigos
consistente formato. de cuenta para la contabilidad general. Sólo se actualiza una vez al mes pero se puede añadir un
nuevo código en cualquier momento, por lo que, a veces no tenemos el código que la gente quiere
entrar’.
• Ejemplo de representación inconsistente: el formato de fecha es diferente entre los distintos
repositorios, p.ej. DD/MM/YY, MM/DD/YY.
Contextual/ la información está En el software de una empresa actual la internacionalización es un requisito calve. Ejemplo de
interpretabilidad expresada en el idioma, resultado de interoperabilidad insuficiente: ‘El sistema está obsoleto. Ni siquiera soporta Unicode y
símbolos y unidades tenemos clientes internacionales cuyos nombres no podemos representar adecuadamente.
adecuadas y su definición
es clara.
Contextual/ la información es Un sistema puede ser "correcto" en términos de la estructura de datos y aun así ser difícil de entender.
comprensión fácilmente comprensible. Ejemplo de resultado de la mala comprensibilidad: 'Debido a los muchos códigos / abreviaturas
utilizadas, es realmente difícil llegar a entender el historial del cliente.
Contextual/facilidad de la información es fácil de La interacción con los datos es la principal preocupación para la usabilidad. Ejemplo de resultado de
manipulación manipular y de aplicar a manipulación difícil: 'Las pantallas de datos de clientes se ven muy bien, pero su actualización es
las diferentes tareas. demasiado laboriosa. Tienes que hacer clic cinco veces en varios botones para actualizar incluso la
cosa más simple. Además, no es fácil extraer la información del cliente y procesarla en otras
aplicaciones”.
Seguridad/accesibilidad/ la información está Si el sistema está fuera de servicio o degradado, el usuario no puede acceder a los datos. Ejemplo de
disponibilidad disponible cuando se resultado de la nula disponibilidad: 'La base de datos de clientes se corrompió y no hemos sido
requiere o es rápida y capaces de restaurar una copia de seguridad. Nuestras operaciones de negocios están empezando a
fácilmente recuperable. perder dinero en serio'.
Seguridad/accesibilidad/ que la información se El acceso a los datos debe ser controlado y sólo estar disponible para el personal apropiado y
acceso restringido restringe adecuadamente autorizado. Ejemplo de adecuada restricción de la información: "Mientras que cualquier operador
a las partes autorizadas. puede ver la dirección del cliente, sólo permitimos a los operadores de servicio al cliente de nivel senior
y superior a que puedan ver el número de identificación fiscal del cliente y número de cuenta bancaria".
3.1.2.2 OBJETIVOS DE CALIDAD DE LA INFORMACIÓN APLICADAS A SEGURIDAD

El concepto básico de seguridad de la información referido a confidencialidad, integridad y disponibilidad (CIA, por sus
siglas en inglés) es mundialmente aceptado entre los profesionales de la seguridad. COBIT 5 se refiere a los criterios de
CIA en el catalizador de la información como las objetivos de información. La figura 22 muestra la aplicación de CIA a
los criterios de calidad de la información en COBIT 5, tal como se definen en el modelo de información.
Figura 22— Criterios de Calidad de Información Aplicados a la Seguridad

Seguridad Criterios de Calidad de Información en COBIT 5
Confidencialidad Acceso restringido
Integridad Combinación de:
• Exhaustividad
• Precisión
Disponibilidad Acceso fiable y en el momento en que se necesita
3.1.3 Ciclo de vida

Es necesario considerar el ciclo de vida completo de la información, y se pueden requerir diferentes planteamientos para la
información en diferentes fases del ciclo de vida.

37
La figura 23 muestra como el catalizador de información de COBIT 5 distingue las siguientes fases del ciclo de vida:
• Planificar - Fase en la cual se prepara la creación, adquisición y utilización de los recursos de información. Las
actividades en esta fase incluyen la comprensión del uso de la información en los procesos de negocio
correspondientes, la determinación el valor del activo de información y su clasificación correspondiente, la
identificación de objetivos y la planificación de la arquitectura de la información.
• Diseñar - Fase en la cual se realiza un trabajo más detallado al especificar cómo se mostrará la información y cómo
tendrán que trabajar los sistemas de procesamiento de información. Las actividades en esta fase se pueden referir a la
elaboración de normas y definiciones (p.ej. las definiciones de datos, recopilación de datos, el acceso, los procedimientos
de almacenamiento y características de los metadatos).
• Construir/Adquirir - Fase en la cual se adquiere el recurso de información. Las actividades en esta fase pueden
referirse a la creación de registros de datos, la adquisición de datos y la carga de archivos externos.
• Usar/Operar - Esta fase incluye:
– Almacenar - Fase en la cual la información se mantiene en formato electrónico o en forma impresa (o incluso sólo en
la memoria humana). Las actividades en esta fase pueden referirse al almacenamiento de información en formato
electrónico (p.ej. archivos electrónicos, bases de datos, almacenes de datos) o en copias impresas (p.ej. documentos de
papel).
– Compartir – Fase en la cual la información se pone a disposición para su uso a través de un método de distribución.
Las actividades en esta fase pueden referirse a los procesos involucrados en trasladar la información a los lugares
donde puede ser accedida y utilizada (p.ej. la distribución de documentos por correo electrónico). Para obtener
información almacenado en formato electrónico, esta fase del ciclo de vida puede superponerse en gran medida con la
fase de almacenamiento (p.ej. el intercambio de información a través del acceso de base de datos, servidores de
archivos/documentos).
– Usar - Fase en la cual la información se utiliza para conseguir las objetivos (relacionadas con TI y, por tanto, con la
empresa). Las actividades en esta fase pueden referirse a todos los tipos de uso de la información (p.ej. la toma de
decisiones por gerencia, la ejecución de procesos automatizados), y también incluyen actividades tales como la
recuperación de la información y la conversión de la información de una forma a otra.
El uso de la información, tal como se ha definido en el modelo de información, se corresponde con los propósitos y
necesidades de las partes interesadas de la empresa para asumir sus funciones, cumplir con sus actividades y interactuar
con los demás. Hay diferentes tipos de información y diferentes maneras de clasificarla. Las interacciones entre los
interesados requieren flujos de información. El marco de COBIT 5 regula el flujo de información entre las funciones de
gobierno y gestión, como se muestra en la figura 24.
La información puede referirse a cualquiera de las secuencias de comunicación representadas en la figura 24, incluyendo la
información operativa generada o utilizada durante las operaciones y ejecución.
Las inversiones en información y tecnologías relacionadas se basan en casos de negocio que incluyen el análisis de costo-
beneficio. Los costos y beneficios se refieren no sólo a aquellos factores tangibles y medibles, sino que también tienen en
cuenta factores intangibles como ventaja competitiva, la satisfacción del cliente y la incertidumbre tecnológica. La empresa
obtiene beneficios de los recursos de información solamente cuando los aplica o utiliza, por tanto, el valor de la
información viene determinado únicamente por su uso (internamente o al venderlo), de modo que la información en si
misma no tiene valor intrínseco. Es sólo a través de poner la información en práctica cuando es capaz de generar valor.
• Monitorear—Fase en la cual se asegura que el recurso de información continúa trabajando correctamente (para ser
valiosa). Las actividades en esta fase se pueden referirse a mantener la información actualizada, así como otros tipos de
actividades de gestión de la información (p.ej. la mejora, la limpieza, la fusión, o la eliminación de duplicidades en los
almacenes de datos).
• Desechar—Fase en la cual el recurso de información es transferido o retenido por un periodo determinado, destruido, o tratado
como parte de un archivo cuando sea necesario. Las actividades en esta fase pueden referirse a la retención, archivo o
destrucción de la información.

CAPÍTULO 3
3.1.3.1 EJEMPLOS DEL CICLO DE VIDA
La Figura 25 describe el ciclo de vida completo para la categoría de proveedor de información.
Figura 25—Ejemplo del Ciclo de Vida de Información para la Información de Proveedores

Etapa Description
Planificar Considerar los requisitos generales de la empresa - a través de las propuestas de valor definidas de las partes interesadas, la
estrategia de negocio y los objetivos, modelo de negocio y estrategia de aprovisionamiento correspondiente – para planificar la gestión
de la información de proveedores (identificación, recolección, declaración, clasificación, almacenamiento, eliminación, etc.) Por
ejemplo: La información de los proveedores será recogida por el departamento de compras y se almacenará en el sistema de gestión
de proveedores.
Diseñar Diseñar los elementos de información de proveedores: soportes, medios de comunicación, canales de acceso, lenguaje del código,
tipo, vigencia, período de retención, contingencias, contextos, etc. Por ejemplo: Negocios ha diseñado un sistema automatizado e
integrado de proveedores que requiere que los proveedores introduzcan su información en un formato estándar específico
directamente en un sistema en línea.
Construir/adquirir Construir/adquirir los elementos de información de proveedores (base de datos de proveedores, sistema de gestión de proveedores,
medios de pago, etc.) Por ejemplo: El negocio ha creado un equipo de gestión de proyectos para la adquisición e implementación de
una nueva aplicación informática de aprovisionamiento o un módulo de facturación electrónica. En el caso de los sistemas integrados
con los sistemas de los proveedores, el sistema de gestión de la seguridad (SGSI) del proveedor puede revisarse en este momento.
Usar/operar: Considerar o utilizar información de proveedores para las actividades de aprovisionamiento de negocio, tales como:
almacenar, compartir, • Clasificar a los proveedores
utilizar • Seleccionar proveedores en base a criterios establecidos
• Pago a débito o crédito
• Actualizar (eliminar, añadir y mantener) la información de proveedores
Por ejemplo: Analíticas sobre los proveedores. Gracias a la consolidación de información de la red de proveedores en relación con el
total de compras, la empresa ha identificado una oportunidad para negociar reducciones de precio con los proveedores.
Supervisar Verificar continuamente y evaluar/valorar los elementos de información de los proveedores para asegurar la alineación continua con el
aprovisionamiento de negocio y la estrategia general. Estos elementos incluyen, por ejemplo:
• Soportes (copia electrónica, en papel)
• Medios
• Canal de acceso
• Lenguaje de códigos
• Tipo
• Vigencia
• Periodo de retención
• Contingencias
• Utilizar contextos
Por ejemplo: La empresa ha decidido no aceptar la información de proveedores en forma impresa y esta decisión será efectiva el
siguiente ciclo de negocio.
Desechar Desechar la información, tal como se indicó durante el diseño de la información de proveedores, teniendo en cuenta los requerimientos
reglamentarios y de retención. Por ejemplo: la empresa requiere la eliminación de los registros de proveedores que superiores a 10
años (el período de retención se determina en la fase de diseño).
La Figura 26 describe el ciclo de vida para el elemento de información requisitos de retención, es decir, un documento de
política que describe los requisitos para la retención de la información empresarial.
Figura 26—Ejemplo del ciclo de vida de información para los requisitos de retención
Etapa Descripción
Planificar Establecer la necesidad de un sistema de retención de registros formalizado. Determinar el alcance, el enfoque y la relación con la
política de la empresa. Examinar y poner en marcha iniciativas de implementación. Por ejemplo: se define un proyecto para detallar los
requisitos de retención e implementar la nueva política dentro de la empresa.
Diseñar Determinar la estructura detallada para la taxonomía de los registros. Determinar las necesidades tecnológicas y de diseño para apoyar
los requisitos de retención. Por ejemplo: Una funcionalidad de archivo se diseña para asegurar que la información requerida se almacena
durante el período de retención mínimo definido.
Construir/adquirir Construir e implementar de acuerdo con las especificaciones de los requisitos de retención. Esto incluye el desarrollo e implementación
de procedimientos operativos, soluciones tecnológicas, etc. Por ejemplo: se implementan procedimientos operativos para el archivo de la
información y la eliminación automática después del período de retención.
Usar/operar: Aplicar los procedimientos operativos y soluciones tecnológicas para cumplir con los requisitos de retención. Por ejemplo: se aplican los
almacenar, compartir, procedimientos operativos para el archivo de la información y la eliminación automática después de período de retención.
Supervisar Supervisar si los requisitos de retención:
• Siguen cumpliendo con las exigencias legales y regulatorias
• Se respetan los requisitos de retención
Por ejemplo: Supervisar si no hay información de proveedores que se haya eliminado dentro del período de retención reglamentario.

39
Figura 26—Ejemplo del ciclo de vida de información para los requisitos de retención (cont.)
Etapa Descripción
Desechar Los datos de la gestión de registros, en sí, deben mantenerse con fecha efectiva (pista completa de auditoría) a perpetuidad, porque la
empresa puede ser legalmente responsable de informar sobre su programación de retención para cualquier momento dado, sobre datos
de cualquier asunto que la empresa haya tratado en alguna ocasión. Por ejemplo: Si la empresa mantiene los datos del cliente de por
vida + 7 años entre 1990 y 2000, y redujo esto a + 5 años para 2001 en adelante, todavía puede ser necesario el tiempo de retención
efectiva vigente para los años 1990 a 2000 en caso de litigios relacionados con ese periodo de tiempo.
En la Figura 27 se describen las fases del ciclo de vida para la gestión de cambios de datos y la gestión de solicitudes de
cambios.
Figura 27—Ejemplo del ciclo de vida de información para los datos de gestión de cambios en TI
Etapa Descripción
Planificar La gestión de cambios se implementa normalmente como un proceso estándar. Parte del diseño del proceso consiste en especificar el
alcance, las características y la ubicación de los cambios o las solicitudes de cambios en TI. Por ejemplo: La arquitectura de la empresa
debería definir la existencia y la integración de uno o más repositorios de datos sobre cambios (independientes de especial aplicación).
Si se especifican varios repositorios, se deben emplear los principios de gestión del maestro de datos para determinar qué repositorios
están autorizados para originar los datos de cambios (sistema de registro [SOR]) y qué repositorios deben limitarse a reproducir los
datos de cambio de los sistemas de registro autorizados. Si varios sistemas originaran modificaciones (por ejemplo, un entorno de
mainframe mantiene un repositorio separado) deben definirse las reglas específicas de negocio por las cuales los datos se integran en
los diferentes repositorios.
Diseñar Especificar la lógica de los cambios en cuanto a los requisitos del proceso de cambio. Las preguntas específicas incluyen:
• ¿Qué atributos de los datos están asociados con el cambio?
• ¿Qué otras entidades de datos pueden ser relevantes para los cambios?
Establecer las clases de los registros8, en su caso, y definir el período de retención. Evaluar la sensibilidad potencial de los datos de
cambios. En general, el proceso de cambio tiene por objeto informar de un cambio planificado a todas las partes interesadas. A menudo,
el cambio de datos está ampliamente disponible para el personal de TI. Sin embargo, debe considerarse si esta amplia disponibilidad
podría ser un punto de vulnerabilidad. Conocer que un sistema está siendo cambiado podría aprovecharse para realizar un ataque.
Otros cambios podrían estar relacionados con estratégicas confidenciales o iniciativas de seguridad y sólo deben ser reportados sobre
una base de necesidad de conocer.
Definir los informes de cambios, según corresponda. Identificar las métricas de calidad de los datos que reflejan la arquitectura de
procesos y KPI. Ver el proceso BAI06 Gestionar los Cambios en la guía COBIT 5: Procesos Catalizadores. Por ejemplo:
• ¿Los cambios deben de relacionarse con el proyecto que impulsa la iniciativa, con las versiones asociadas, con las peticiones de
servicio, con las órdenes de trabajo, con los elementos de configuración?
• ¿Los cambios deben estar accesibles para toda la organización, para todo el personal de TI, para grupos seleccionados, etc.?
• ¿Se aplica una clasificación de cambios para poder aplicar restricciones de acceso?
Los datos de cambios pueden ser ampliamente compartidos por otros sistemas, tales como gestión de proyectos y versiones, y también
pueden ser importantes para el almacén de datos de TI o funciones analíticas similares. Por el contrario, el sistema puede proporcionar
identificaciones y nombres de proyectos para facilitar la asociación con los cambios, y, del mismo modo, para las versiones, incidencias
y otras entidades primarias de datos de TI.
Deberían establecerse informes para los cambios sin elementos de configuración asociados, cambios cuya ventana de aprobación se ha
superado, cambios sin ningún patrocinador o incidente relacionado, etc.
Construir/adquirir La especificaciones de datos de cambios diseñadas implican determinados requisitos para los proceso de adquisición e implementación.
Por ejemplo: El acceso a las categorías de datos de cambios se debe configurar en los sistemas adecuados para garantizar el acceso
restringido a la información confidencial o estratégica.
Usar/operar: Proporcionar formación sobre el uso apropiado del sistema de cambios y el cumplimiento de los requisitos de diseño (configuración,
almacenar, compartir, almacenamiento, etc.) Asegurar que las interfaces de entrada y de salida están operativas. El sistema de cambios es, en sí, una
utilizar aplicación en producción y sujeto al proceso de cambio, así como a otros procesos y prácticas operativas, como la supervisión, gestión
de la capacidad, gestión del nivel de servicio, entre otros. Por ejemplo: Los datos de cambios se deben introducir de acuerdo con la
documentación del proceso de cambios, que debe especificar claramente que datos se requieren, ya sean recomendados u opcionales.
El sistema debería ser diseñado, tanto como sea posible, para apoyar el usuario en el cumplimiento de los requisitos del proceso. Las
modificaciones requeridas deberán ser ejecutadas con restricciones en la entrada de datos o, al menos, informes de excepción.
Supervisar Supervisar la calidad de los datos de cambios y el cumplimiento de los requisitos de diseño. Informar sobre las excepciones, tanto para
aplicar medidas correctivas como para analizar las causas principales (mejora continua). El proceso de cambios debe ser una prioridad
para la mejora continua de TI. Por ejemplo: Vigilar el cumplimiento de los plazos de realización y aprobación. Adoptar las medidas
oportunas si los interesados no cumplen con el proceso.
8
Teniendo en cuenta el registro de códigos de clase como titular de los datos en sí mismo, introduce el concepto de metadatos, es decir, los datos sobre los
datos. Esto puede ser un concepto difícil de entender, pero es un componente esencial en el gobierno y la gestión de la información.

CAPÍTULO 3
Figura 27—Ejemplo del ciclo de vida de información para los datos de gestión de cambios en TI (cont.)
Etapa Descripción
Desechar Los datos de cambios deben tener un período de retención definido y ser eliminados de acuerdo con ello. Su sensibilidad e importancia
pueden ser de interés en asuntos judiciales para deliberar entre el equipo de gestión de cambios, los asesores jurídicos y el personal de
gestión de registros.
Tener en cuenta que un periodo de retención largo para algunas agrupaciones de datos de cambios (p.ej. las tasas de éxito/fracaso)
podrían ser aconsejables para el seguimiento de la calidad del servicio de TI. Por ejemplo: La información de solicitud de cambios de
nivel de detalle se mantiene durante tres años y se elimina posteriormente de acuerdo con el proceso de eliminación estándar. Los
informes agregados de cambios pueden ser retenidos de manera indefinida con fines históricos.

41
3.1.4 Buenas prácticas

El concepto de información se entiende de manera diferente según las diferentes disciplinas, tales como la economía, teoría de
la comunicación, ciencias de la información, gestión del conocimiento o sistemas de información. Por ello, no hay un acuerdo
universal sobre la definición de información. La naturaleza de la información, sin embargo, puede ser clarificada a través de la
definición y la descripción de sus propiedades.
En la figura 28 se propone un esquema para estructurar las diferentes propiedades. Se compone de seis niveles o capas,
para definir y describir las propiedades de información. Estos seis niveles presentan una serie de atributos que van desde
el mundo físico de la información, donde los atributos están relacionados con las tecnologías de la información y los
elementos de comunicación para obtener, capturar, almacenar, procesar, distribuir y presentar la información, hasta el
mundo social donde la información adquiere un sentido, se utiliza y se actúa.

CAPÍTULO 3
3.1.4.1 EJEMPLO DE BUENAS PRÁCTICAS
La figura 29 enumera los atributos de buenas prácticas para los datos de clientes, que elementos identifican a cada atributo
y muestra algunos ejemplos.
Figura 29—Atributos de información de buenas prácticas para datos de clientes

Atributo Identifica… Ejemplo(s)
Físico/ al portador físico de la información. La plataforma física escogida para la gestión de datos, por ejemplo un sistema de gestión de bases
medio/soporte de de datos relacionales (RDBMS) concreto para un servidor concreto.
información
Empírico/ canal el canal de acceso a la información. Se puede acceder a los datos de clientes mediante consultas SQL sobre una conexión TCP/IP.
de acceso Esto implica el uso de varias capas en el protocolo de comunicaciones: SQL opera en la capa de
aplicación y el resto en las capas inferiores.
Sintáctico/ el idioma/formato de representación Ejemplos de conjuntos de símbolos que codifican datos son: romanos, cirílicos y Unicode.
código/lenguaje utilizado para la codificación de la Ejemplos de formatos son: cadena de texto, dígito y fecha.
información.
El nombre de un cliente puede estar en caracteres romanos codificados en Unicode y las notas
asociadas sobre sus respectivas operaciones pueden estar en inglés. Los nombres son cadenas
de texto, como lo son también las direcciones y correos electrónicos; algunos códigos postales
están constituidos únicamente por dígitos mientras que otros son una mezcla alfanumérica. Los
números de teléfono por lo general son todos dígitos. Las transacciones asociadas pueden ser
Semántico/ tipo de el tipo de información. Los datos de clientes a fmenudo incluyen
f datos personales como por ejemplo el nombre, la fecha
información de nacimiento o la dirección. Otros tipos de información pueden incluir datos financieros cuando se
visualizan los gastos del cliente, valores observados y previsiones al análisis de compras de los
clientes, etc.
Semántico/ al horizonte temporal referido a la Los datos de clientes podrían referirse al pasado, al presente (si se han actualizado recientemente)
actualidad de la información. o al futuro (si se realizan previsiones o predicciones). No todos los datos se deben actualizar con la
información misma frecuencia: puede ser necesario revisar periódicamente las direcciones mientras que la
fecha de nacimiento de una persona no cambia.
Semántico/ nivel el nivel de detalle de la información. Los datos de clientes pueden segmentarse y agruparse de diversas maneras. Enfoques más
de información estáticos pueden crear clasificaciones por ciudad, estado y región, o por el canal de servicio a ese
cliente. Los enfoques más dinámicos pueden definirse para los hábitos de compra del cliente,
tratando de segmentarlos en grupos de compra generales (por ejemplo, entusiasta de la tecnología
de primer nivel, madre suburbana).
Pragmático/ durante cuánto tiempo puede Los datos de clientes a menudo tienen asignado un periodo de retención definido, por ejemplo, la
periodo de retenerse la información antes de duración de la relación comercial activa del cliente con la empresa más siete años (después de
retención que sea destruida. siete años de inactividad, se purga el registro del cliente).
Pragmático / si la información está operativa o es Los datos de clientes se mueven a través del ciclo de vida y pueden ser marcados como inactivos
estado de la histórica. antes de la purga. Determinados registros de clientes pueden ser actuales o históricos, por
información ejemplo, las órdenes abiertas versus órdenes cerradas. El historial de pistas de auditoría sobre
atributos como la dirección del cliente y la información de contacto puede mantenerse.
Pragmático / si la información genera Un registro de clientes puede contener un indicador para confirmar su exactitud en un momento
novedad conocimiento o confirma el dado. Si un representante de la compañía habla con el cliente y éste le indica que su dirección
conocimiento existente. sigue siendo correcta, el sistema puede proporcionar una utilidad para confirmar esto.
El análisis de tendencias en los hábitos de compra de los clientes puede confirmar patrones
conocidos o mostrar las nuevas tendencias.
Pragmático / que información se requiere para Los datos de clientes podrían estar supeditados a otras informaciones (por ejemplo, información
contingencia anteceder a ésta. sobre los productos o los registros de ventas) antes de que puedan ser utilizados como es debido o
puedan convertirse en conocimiento. Algunas empresas pueden distinguir entre los clientes
potenciales y reales, pero, en general, los datos son suficientes por si mismos.
Social/contexto el contexto en el que la información Las pistas de datos de clientes, al más alto nivel: comercialización, ventas, logística, finanzas y
toma sentido: contexto cultural, ciclo de vida del soporte técnico a la entrega del producto. Un cliente podría originarse como
contexto personal, etc. potencial en un sistema de datos de marketing y comercial, convertirse en un verdadero cliente a
través del sistema de venta, ser dirigido a los sistemas de facturación y entregas y, finalmente,
acabar en el sistema de soporte. Otras empresas pueden utilizar un sistema de datos maestros
comunes que puede ser accedido desde todas estas actividades comerciales.

43
3.2 Ejemplos adicionales del Modelo de uso de la información COBIT 5

3.2.1 Muestra de casos de uso para el Modelo de Información de COBIT 5
El modelo de información de COBIT 5 es rico en términos de los diferentes componentes. Para ilustrar e inspirar los
diversos posibles usos de este modelo, se pueden ver ejemplos adicionales en las figuras 30 a 34.
Figura 30—Construyendo las especificaciones del Sistema de la Información

En el desarrollo de una nueva aplicación, el modelo de información se puede utilizar para ayudar con las especificaciones de la aplicación y de los modelos de
información o de datos asociados. Los atributos informativos del modelo de información pueden ser utilizados para definir las especificaciones de la aplicación y
de los procesos de negocio que van a utilizar la información. El modelo ayuda a asegurarse de que se incluyen todos los tipos de requisitos.
Por ejemplo, el diseño y las especificaciones del nuevo sistema deben especificar:
• Capa física - ¿Dónde se almacena la información?
• Capa empírica - ¿Cómo se puede acceder a la información?
• Capa sintáctica - ¿Cómo se estructurará y codificará la información?
• Capa semántica - ¿Qué tipo de información se trata? ¿Cuál es el nivel de información?
• Capa pragmática - ¿Cuáles son los requisitos de retención? ¿Qué otra información es necesaria para que esta información sea útil y utilizable?
• Capa social - ¿Cuál es el contexto en el que es importante cuando se utiliza la información? ¿Qué prerrequisitos de conocimiento son necesarios?
Teniendo en cuenta la dimensión de los responsables combinados con el ciclo de vida de la información, se puede definir quién necesita qué tipo de acceso a los
datos, en qué fase del ciclo de vida de la información, así como las responsabilidades de cada uno de los responsables en cada fase. Cuando se prueba la
aplicación, los probadores pueden comprobar los criterios de calidad de la información para desarrollar un amplio conjunto de casos de prueba.
Figura 31—Definición de los requisitos de protección de la información

Los grupos de seguridad dentro de la empresa pueden beneficiarse de los atributos de dimensión del modelo de información. Al ser encargados de la protección
de la información, tienen que tener en cuenta:
• Capa Física - ¿Cómo y dónde la información se almacena físicamente?
• Capa Empírico - ¿Cuáles son los canales de acceso a la información?
• Capa Semántica - ¿Qué tipo de información se trata? ¿La información es actual o relativa al pasado o al futuro?
• Capa Pragmática - ¿Cuáles son los requisitos de disponibilidad y retención? ¿Es información histórica u operativa (actual)?
El uso de estos atributos permite a los grupos de seguridad determinar el nivel de protección y los mecanismos de protección necesarios. Abordar estas
cuestiones efectivamente es esencial porque las empresas las necesitan cada vez más para hacer frente a los problemas de privacidad relacionados con la
información de identificación personal y la protección de otros tipos de valiosos activos de información, por ejemplo, la propiedad intelectual.
En cuanto a otra dimensión del modelo de información, profesionales de la seguridad pueden tener en cuenta los grupos de interés y las etapas del ciclo de vida
de la información, ya que la información debe ser protegida durante todas las fases de su ciclo de vida, así como ser accesible por los interesados apropiados. La
seguridad comienza en la fase de planificación de la información e implica diferentes mecanismos de protección para el almacenamiento, la distribución y
disposición de la información. El modelo de información se asegura de que la información está protegida durante el ciclo de vida completo de esta.
Figura 32—Determinar la facilidad de uso de los datos

Al realizar una revisión de un proceso de negocio (o una aplicación), el modelo de información se puede utilizar para ayudar a la revisión general de la
información procesada y de los sistemas de información subyacentes. Los criterios de calidad se pueden utilizar para evaluar el grado en que la información está
disponible – si la información es completa, disponible en forma oportuna, objetivamente correcta, pertinente y disponible en la cantidad adecuada. Uno puede
considerar también los criterios de accesibilidad – si la información es accesible cuando se requiere y está protegida adecuadamente. El examen puede incluso
ampliarse a incluir criterios de representación, por ejemplo, la facilidad con que la información puede ser entendida, interpretada, utilizada y manipulada.
Una revisión que utiliza los criterios de calidad de la información del modelo de información proporciona a la empresa una visión global y completa de la actual
calidad de la información dentro de un proceso de negocio.

CAPÍTULO 3
Figura 33—Prácticas de modelado de control de aplicaciones
Riesgo asociado a cualquier proceso de negocio y procesamiento complejo de la información empresarial que presenta riesgos adicionales. Las prácticas de
control de aplicaciones están destinadas a proporcionar una seguridad razonable de que se alcanzarán los objetivos de negocio con respecto a una aplicación
determinada. Los objetivos de gestión se articulan normalmente a través de la definición de los requisitos funcionales específicos para la solución, la definición de
reglas de negocio para el procesamiento de información y la definición de procedimientos manuales que la soporten.
Los ejemplos incluyen:

• Integridad – La aplicación procesa todas las transacciones y la información resultante es completada.
• Precisión – Todas las transacciones se procesan de forma precisa y según lo previsto y la información resultante es exacta.
• Validez - Sólo las transacciones válidas se procesan y la información resultante es válida.
• Autorización - Sólo las transacciones debidamente autorizadas se han procesado.
• La segregación de funciones - La aplicación proporciona y sustenta una apropiada segregación de funciones y responsabilidades tal y como han sido
definidas por la dirección.
Cuando se trata de prácticas de control de la aplicación, el siguiente riesgo debe ser identificado, evaluado y respondido a:
• Capa Física -¿Cuál es el riesgo asociado a los errores o ineficiencias que pueden realizarse durante la captura física de la información?
• Capa Empírica -¿Cuál es el riesgo relacionado con la falta de integridad de los datos, las transacciones procesadas erróneas o ilegítimas, actualizaciones
procesadas no válidas o no autorizadas o cambios indebidos?
• Capa Semántica -¿Cuál es el riesgo cuando se realizan rodeos, anulaciones o entradas manuales para evitar prácticas automatizadas de control de la
aplicación? Estas funciones son inherentes a la mayoría, si no a todas, de las aplicaciones.
• Capa Pragmática - ¿Cuál es el riesgo de pérdida de confidencialidad o falta de disponibilidad de la información cuando esta se requiere?
Figura 34—Desarrollo de un sistema de control interno

Los requisitos para el control interno efectivo han sido establecidos desde hace tiempo. Sin embargo, como resultado de la Ley Sarbanes-Oxley en los Estados
Unidos y leyes similares en otras jurisdicciones de todo el mundo, recientemente se ha puesto mucha atención en un subconjunto específico de objetivos de
gestión en lo que respecta a la información financiera: garantizar que el control interno sobre la información financiera ha sido diseñado apropiadamente y está
funcionando de manera efectiva para reducir el riesgo de generación de errores en los estados financieros y revelaciones relacionadas.
Los objetivos del contenido del modelo de información ayudan a establecer el control interno sobre la información financiera. El Marco Integrado de Control
Interno del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) se utiliza a menudo como la referencia de base para la orientación del
control interno. COSO establece que la información es necesaria en todos los niveles de una organización para manejar el negocio y alcanzar los objetivos de
negocio de la entidad. La determinación de que información se requiere para alcanzar los objetivos de negocio requeridos, y la comunicación de esta información
en modo y tiempo que permitan a las personas llevar a cabo sus funciones se puede realizar con la ayuda del modelo de información.
COSO también remarca que la calidad de la información es clave para alcanzar los objetivos de negocio y, por ejemplo, incluye la determinación de que la
información tiene:
• Calidad intrínseca:
- Precisión - ¿Es correcta la información?
• Contextual y calidad de representación:
- Adecuada - ¿Es la información correcta?
- Oportuna - ¿Está disponible cuando se requiera y se informó en el período de tiempo correcto?
- Corriente - ¿Está disponible la más actual?
• Seguridad / Calidad de accesibilidad:
- Accesible - ¿Pueden sólo las personas autorizadas acceder a ella cuando lo necesitan?
• Estos ejemplos de requisitos y otros que pueden aplicar a la calidad de la información, claramente están relacionados con los objetivos de calidad del modelo
de información.
3.2.2 Descripción completa del elemento de información—Perfil de Riesgo

La dimensión de la información de las partes interesadas, objetivos y criterios de calidad, fases del ciclo de vida, y
buenas prácticas y los atributos de información fueron discutidos en secciones anteriores. Esta sección contiene un
ejemplo de un elemento de información que tiene todas las descripciones de las dimensiones de información
completas, es decir, un "perfil de riesgo". (Ver figura 35.) El perfil de riesgo agrega todas las dimensiones de
información descritas en las secciones anteriores. Puede ser útil para abordar cuestiones centradas en la
información, como por ejemplo para:
• Los gestores de riesgos:
– ¿Qué aspecto tiene un perfil de riesgo?
– ¿Cuáles son los criterios de calidad para un perfil de riesgo (y cómo pueden ser alcanzados)?
– ¿Quiénes son los actores importantes?
– ¿Cuáles son sus intereses?
– ¿Cuáles son las buenas prácticas?
– ¿Cuáles son los catalizadores relacionados, etc.?
• Auditores:
– ¿Cómo puedo revisar la calidad de un perfil de riesgo?
– ¿Cuáles son los criterios que tengo que revisar?
• Las partes interesadas: ¿Qué responsabilidades tengo en el ciclo de vida del perfil de riesgo?

45
Ejemplos adicionales de elementos de información específicos para Risk, Assurance y Información Security son
detallados en las respectivas publicaciones de ISACA, COBIT 5 for Risk, COBIT 5 for Assurance and COBIT 5 for
Información Security.
Figura 35—Elementos de información de perfiles de riesgo

Un perfil de riesgo es la descripción del riesgo global (identificado) al que se expone una empresa. Un perfil de riesgo consiste en:
• Registro del riesgo
– Escenarios de riesgo
– Análisis de riesgo
• Plan de acción del riesgo
• Eventos de perdida (históricos y actuales)
• Factores de riesgo
• Hallazgos de valoraciones externas
Etapa del ciclo de vida Interesados internos Interesados externos Descripción/Etapa
Planificación de la Comité GRE, consejo Auditor externo, • Partes interesadas internas: Iniciar y conducir la implementación y
información regulador nombrar a un CRO. Disponer de información adecuada sobre la
exposición.
• Partes interesadas externas: Para asegurar las capacidades de
gestión de riesgos
Diseño de la Función de riesgos, • CRO: Para obtener información de los otros roles con el fin de
información cumplimiento, CIO, proporcionar la visión general a los órganos de gobierno
CISO, dueños de • CIO: Para poder desarrollar un sistema de información adecuado
procesos de negocio,
• Otras funciones : Para ser capaz de proporcionar la información
Ciclo de vida y partes interesadas
auditoría interna
pertinente y garantizar la integridad / adecuación
Construcción/adquisici Función de riesgos, • CRO: Proporciona los requisitos funcionales y consulta los otros.
ón de la información auditoría interna • Auditoría Interna: Proporciona servicios de asesoramiento de la calidad
en la ejecución.
Uso/operación de Consejo, comité GRE, Auditor externo, • Propietarios de los procesos de negocios, ejecutivos y CIO :
la información: ejecutivo de negocios, regulador Proporcionar de manera eficiente la información relevante
almacenaje, CIO, función de riesgos, • Junta y comité ERM: Para recibir la información pertinente y permitir la
compartición, CISO, dueños de toma de decisiones
uso procesos de negocio,
• La auditoría interna, auditoría externa y el regulador: Recibir
cumplimiento, auditoría
información relevante
interna
• CRO: Supervisa la captación, procesamiento e interpretación de la
información
Monitoreo de la Consejo, comité GRE, Auditor externo • CRO: El monitoreo permanente sobre la adecuación, integridad y
información función de riesgos, exactitud de la información; evaluación semestral de desempeño
auditoría interna (MEA01) y controles (MEA02) para mantener la información
• Auditoría interna: la validación anual de formato y nivel de contenidos
Destrucción de la Función de riesgos • CRO: De acuerdo con la política de retención de datos, asegurar la
información confidencialidad de la información y reducir la cantidad de información

CAPÍTULO 3
Figura 35—Elementos de información de perfiles de riesgo (cont.)
Subdimensiones de Descripción—La medida en
calidad y objetivos que la información es… Relevancia * Objetivo
Precisión Correcta y confiable Alta La fuente de información necesita ser precisa (confirmado vía auditoria) y
debe ser añadida en la aplicación de gestión del riego de acuerdo con las
reglas fijadas.
Intrínsecos
Objetividad No sesgada, sin prejuicios, Alta La información está basada en hechos y sustentación verificables,
imparcial usando la visión de riesgo común establecida en la empresa.
Credibilidad Considerada como cierta y Media La información es de plena confianza
Reputación Considerada como procedente Media Las fuentes de información son seleccionadas de fuentes competentes y
de una fuente verídica y creíble reconocidas.
Relevancia Aplicable y útil para la tarea en Alta El perfil del riesgo se estructura tal y como está definido, y el destinatario
cuestión confirma la relevancia de la información proporcionada.
Integridad Sin carencias y de profundidad Alta El perfil de riesgo cubre completamente el ámbito empresarial y el
y amplitud suficiente para la registro de riesgos. Sin embargo, no toda la información puede estar
tarea disponible y los supuestos deben ser realizados y justificados.
Actualidad Suficientemente actualizada Baja La necesidad de actualización del perfil de riesgo está dirigida por la
Contextuales y de representación
para la tarea frecuencia y el impacto de los cambios y de los componentes

Cantidad de Apropiada en volumen para la Alta El volumen de información es adecuado a las necesidades del
Objetivos
información tarea destinatario y debe ser definido durante el diseño.

Representación Representación compacta Media El perfil de riesgo está representado de manera concisa; ha estado
concisa obtenido mediante la agregación de información de toda la empresa y
manteniendo únicamente los casos individuales hasta cierto umbral.
Representación Presentada en el mismo Baja El perfil de riesgo está siempre representado acorde a una plantilla
consistente formato previamente acordada. Sin embargo, escenarios particulares pueden ser
analizados de modo diferente si se acuerda.
Interpretabilidad Lenguajes, símbolos y Alta Para facilitar la toma de decisiones, la información óptima se puede
unidades apropiadas, y con identificar y enfocarse.
definiciones claras
Comprensibilidad Fácilmente comprensible Alta Con el fin de tomar decisiones informadas, el perfil de riesgo debe ser
entendido por muchas de las partes interesadas.
Manipulación Fácil de manipular y de aplicar Baja Los escenarios pueden ser modificados y simulados.
a las diferentes tareas
Disponibilidad Disponible cuando se necesite, Media El perfil de riesgo está en todo momento disponible para las partes
o fácil y rápida de recuperar interesadas; una indisponibilidad temporal es aceptable en caso de
incidente
Seguridad
Acceso Restringido correctamente a Alta El acceso al perfil de riesgo es determinado por la función de riesgo y
restringido los agentes autorizados está restringido de este modo:
• Acceso de escritura: Función del riesgo (basado en aportaciones de los
contribuidores)
• Acceso de lectura: Al resto de partes interesadas
* Los valores de la columna relevancia, son específicos de la empresa. Esta es una muestra, pero la importancia real
dependerá del contexto específico de cada empresa.

47

Atributo Descripción Valor
Físico Medio / soporte de El soporte de la información para el perfil de riesgo puede ser un documento electrónico o impreso,
información o un sistema de información, (por ejemplo un panel de control).
Empírico Canal de acceso a la El perfil de riesgo es accesible mediante el portal GRM o impreso localizaciones específicas.
información
Sintáctico Código / lenguaje El perfil de riesgo incluye los siguientes subapartados:
• Registro del riesgo (resultante del análisis de riesgos), que consiste en una lista de escenarios de
riesgo y sus correspondientes estimaciones de impacto, frecuencia (mapa de riesgos); tanto los
actuales mapas de riesgo como los pasados.
• Plan de acción de riesgos, incluyendo los elementos de acción, su estado, responsable, plazos,
etc.
• Perdida de información relacionada a eventos ocurridos en el período(s) anterior(es) del informe.
• Factores de riesgo, incluyendo tanto los factores de riesgo contextuales como los relacionados
con la capacidad (vulnerabilidades)
El resultado de evaluaciones independientes (por ejemplo, resultados de auditoria,

autoevaluaciones)
Buenas Prácticas
Semántico Tipo de información Documento estructurado basado en la plantilla y/o un panel de control online con posibilidades de
navegabilidad.
Actualidad de la El perfil de riesgo contiene información histórica, actual y perspectivas de futuro.
Nivel de información El perfil de riesgo agrega datos de toda la empresa, representando únicamente los riesgos más
importantes teniendo en cuenta un umbral predefinido y con cambios significativos a los períodos
anteriores.
Pragmático Periodo de retención El perfil de riesgo debe ser mantenido tanto como los datos/información sobre la que trata deban ser
mantenidos. Las actualizaciones del registro de riesgo deben ser registradas y conservadas tal y
como se define en los requisitos legales, el uso de información como evidencia o la necesidad de
obtener evaluaciones independientes.
Estado de la información La instancia actual es operativa, los anteriores son información histórica.
Novedad El perfil de riesgo combina diferentes fuentes de datos que componen una nueva instancia, por lo
que se tratan como datos nuevos. Debe ser actualizado regularmente (por ejemplo, mensualmente).
Contingencia El perfil de riesgo se basa en que la siguiente información esté disponible y sea comprendida por el
usuario:
• El anhelo de riesgo de la empresa
• Los factores de riesgo que aplican a la empresa
• La taxonomía de riesgos empleada en la empresa
Social Contexto El perfil de riesgo adquiere principalmente su significado al ser empleado en el contexto del GRM,
pero puede también ser usado en otras circunstancias (por ejemplo, durante una fusión).

CAPÍTULO 3

Enlaces a otros catalizadores
Procesos El perfil del riesgo es el resultado de las prácticas de gestión:
• APO12.03 Mantenimiento del perfil de riesgo.
• APO12.04 Articulación del riesgo.
El registro del riesgo es una entrada para las prácticas de gobernanza y gestión:
• EDM03.02 Gestión directa del riesgo.
• EDM05.02 Comunicación y reporte directo a los actores involucrados.
• APO02.02 Evaluación del entorno actual, capacidades y rendimiento.
• MEA02.08 Ejecución de iniciativas de evaluación.
Se utiliza en las siguientes prácticas de gobernanza y gestión:

• EDM03.03 Gestión del monitoreo del riesgo.
• APO12.06 Respuesta al riesgo.
Se menciona en el objetivo del proceso APO12 Gestión del Riesgo:

• Existe un perfil actual y completo del riesgo.
Y se mide por las siguientes métricas:

• Porcentaje de los procesos clave del negocio incluidos en el perfil de riesgo
• Suficiencia de atributos y valores en el perfil de riesgo
Estructuras organizativas Bajo la responsabilidad del CRO, los siguientes roles son responsables de proporcionar / producir la información:
• Propietarios de los procesos de negocio
• CIO (y los miembros del equipo de TI)
• CISO
Infraestructura, Aplicaciones El perfil de riesgo se produce por aplicación de gestión del riesgo o por un mantenimiento manual por el CRO.
y Servicios
Gente, Capacidades y La generación del perfil de riesgo requiere de una comprensión de los principios y las técnicas de gestión de riesgos. El
Competencias suministro de información requiere de conocimientos de materias específicas y la presentación de la información no debe
requerir habilidades en la gestión del riesgo pero debe permitir a los órganos de gobierno la dirección de la gestión del riesgo y
la toma de decisiones.
Cultura, Ética y Conducta La disponibilidad del perfil de riesgo apoya a la transparencia del riesgo, así como también a las modas y a una cultura
consciente del riesgo.
Principios, Políticas y Principios relacionados:
Marcos Empresariales • Conecta con los objetivos de la empresa
• Alineado con el GRM
• Balance coste/beneficio del riesgo TI
• Enfoque consistente

49

CAPÍTULO 4
ABORDANDO CUESTIONES DE GOBERNANZA Y GESTIÓN DE LA INFORMACIÓN CON COBIT 5
CAPÍTULO 4
ABORDANDO CUESTIONES DE GOBERNANZA Y
GESTIÓN DE LA INFORMACIÓN CON COBIT 5
El propósito de este capítulo es demostrar cómo el marco COBIT 5 puede ayudar a abordar una serie de cuestiones
comunes de gobernanza y gestión de la información:
4.1 Cuestiones de Gobernanza y Gestión de la Información

revisadas en este capítulo
En este capítulo se tratan los siguientes temas actuales de gestión de datos y de información, como se ilustra en la figura
36:
• Demanda/uso de la información
• Big data, cubriendo tres áreas:
− Conocimiento de la situación comercial (variedad de la información)
− Detección del fraude (volumen de la información)
− Análisis predictivo TI (velocidad de la información)
• Gestión de datos maestros y de referencia
• Informática para usuarios finales
• Desintermediación
• Cumplimiento de normativas
• Privacidad de los datos
Para cada cuestión, se incluyen los siguientes temas (ver figura 36.):
• Descripción y contexto empresarial de la cuestión
• Elementos / grupos de elementos típicos de información afectados, dimensiones de la calidad de la información, que
son relevantes para el tema y los objetivos de la información
• Objetivos afectados más arriba en la cascada de los objetivos, es decir, objetivos de la función (funciones TI y de
negocio) y objetivos de la empresa relacionados con la cuestión. Los objetivos de la empresa relacionados se expresan
como un subconjunto de los objetivos de empresa en COBIT 5, y los objetivos relacionados con la TI se expresan como
un subconjunto de los objetivos relacionados de TI en COBIT 5.
• Catalizadores para abordar la cuestión. COBIT 5 se basa en el principio catalizador, es decir, cualquier cuestión de
negocio se puede resolver mediante una combinación de catalizadores interdependientes. Las siete categorías de
catalizadores de COBIT 5 se utilizan para proporcionar una guía de alto nivel sobre cómo abordar la cuestión de
gobernanza / gestión de la información.

51
4.1.1 Big Data

De acuerdo con artículo de ISACA de marzo de 2013 sobre los impactos y beneficios del big data9, 'big data' es un término
común para un conjunto de problemas y técnicas relativas a la gestión y explotación de grandes conjuntos de datos. La noción
de un conjunto 'muy grande' de datos puede ser diferente para cada las empresas. En esencia, las empresas se enfrentan a la
cuestión del big data cada vez que las técnicas o herramientas tradicionales ya no son suficientes para capturar, gestionar y
procesar los datos en un lapso de tiempo razonable.
Las empresas deben encontrar la forma de gobernar los big data de manera alineada con los requerimientos del negocio, sin
impedir o limitar el libre flujo de información e innovación. Los datos pueden ser estructurados o no estructurados e incluyen
datos de clientes y empleados, metadatos, secretos comerciales, correos electrónicos, video y audio. La información puede ser:
• Repartida en múltiples silos complejos que se encuentran aislados unos de otros
• Repetida, con copias redundantes de datos (y los procesos de negocio que los utilizan) ubicados en toda la empresa
• Descoordinada y carente de estandarización de términos
Los beneficios del big data son abundantes. Cuando se maneja correctamente, los big data pueden proporcionar una
visión más precisa sobre el desarrollo de productos, los conductas de los consumidores en el mercado, la eficiencia
operativa, etc. Por lo tanto, las predicciones serán más precisas y los proyectos de mejora pueden dirigirse a los puntos
clave críticos exactos.
En la práctica, las cuestiones relativas al big data se pueden clasificar de acuerdo a tres dimensiones:
• Variedad de la Información
• Volumen de la Información
• Velocidad de la Información, como resultado de incrementar la variedad y la velocidad
Además, todas estas dimensiones están creciendo y llegando a ser aún más complejas. La Información proviene de una
variedad cada vez más amplia de canales, sensores y formatos. Las empresas piden procesar los datos con mayor
rapidez, para que puedan responder a ella al momento en que suceden los acontecimientos. La Información puede ser
alterada a un ritmo muy rápido, lo que aumenta la complejidad de la cuestión.
En consecuencia, el big data presenta una serie de desafíos relacionados con su complejidad incluyendo cómo la
empresa puede:
• Comprender y utilizar el big data cuando los datos están en un formato no estructurado, como el texto o vídeo
• Capturar los datos más importantes cuando son creados o adquiridos, y entregarlos a las personas adecuadas en
tiempo real
• Almacenar, proteger y utilizar los datos, y cómo la empresa puede analizar y comprender los datos, dado su
tamaño y capacidad de computación de la empresa
En relación a estas cuestiones básicas, hay muchos otros desafíos, desde la privacidad y la seguridad al acceso y
despliegue. Es un reto construir el caso de negocio para implementar las prácticas más adecuadas para manejar
grandes volúmenes de datos. El valor tiene que ser demostrado con los resultados de los proyectos de big data.
Una cuestión para cada una de las dimensiones de big data se discute en las secciones de la 4.3 a la 4.5 de este
capítulo.
4.2 Cuestión de Gestión/Gobernanza de la Información:

Demanda / Uso de la Información
4.2.1 Descripción de la cuestión y contexto de negocio
A menudo, los usuarios de la información en funciones de negocio de la empresa se esfuerzan en hacer entender (y
resolver) a la organización TI.. Este problema se debe a una brecha entre el negocio y el conocimiento técnico, y puede ser
analizada desde las dos perspectivas siguientes:
• Asumiendo que en la organización TI existen los conocimientos técnicos suficientes para configurar los sistemas de
información, la falta de comprensión del proceso de negocio que puede conducir a una configuración no óptima de
estos sistemas, ya que se requiere un conocimiento experto de los datos y cómo pueden estructurarse o combinarse.
• La falta de comprensión por los usuarios de negocio acerca de los sistemas de información o la modelización de la
información realizada, sus funcionalidades y sus limitaciones puede conducir a expectativas que no puedan cumplirse.
9
ISACA, Big Data: Impact and Benefits, USA, 2013, www.isaca.org/Knowledge-Center/Research/Pages/White-Papers.aspx

CAPÍTULO 4
La demanda / uso de la información se aplica a muchos sistemas en una empresa. Los ejemplos más comunes son los
almacenes de datos y sus soluciones de BI (Business Intelligence) y los sistemas / portales de gestión de información de la
empresa. Facilitar detalles y matices respecto a los datos es crucial para implantar estas soluciones de una manera óptima.
Además, este problema no se limita a producirse en la fase de desarrollo de una solución, aspecto que es gestionado por lo
general a través de un marco adecuado de gestión de proyectos. Por ejemplo, nuevos informes a partir de almacenes de
datos, por lo general se originan en solicitudes de cambio que se generan de forma continua, independientemente de si el
sistema está todavía en desarrollo.
Ejemplo de solicitud: ¿Cómo puede el director de marketing convertir datos en bruto sobre clientes en informes mensuales
que le permiten obtener mejores conocimientos sobre potenciales necesidades y segmentos de clientes? La solución requiere
un conocimiento profundo del proceso de marketing y una amplia experiencia en soluciones de gestión de relaciones con
clientes (CRM – customer relationship management) y el almacén de datos relacionado que se utilizan para extraer
información relevante. Tanto marketing y TI deben reunir sus conocimientos para configurar los informes que permitan este
tipo de conocimiento del cliente.
Desde el punto de vista de la empresa, diversos escenarios de riesgo potencial pueden ser identificados, como:
• Cuando las decisiones empresariales se basan en la información incluida en los informes configurados
incorrectamente, estas decisiones pueden afectar la ventaja competitiva y ser peligrosos para la empresa.
A pesar de que los casos de negocio están hechos para evaluar los beneficios de los sistemas de información y estos
sistemas se implementan adecuadamente, el mal uso de estos sistemas o la información producida por estos sistemas
una vez están en producción tiene por resultado que los sistemas de información no cumplan con el valor requerido
porque las necesidades de los usuarios no se atienden correctamente. El análisis de beneficios y costos de estos
sistemas de información se convertirán en incorrectos si este riesgo no es gestionado adecuadamente.
• Cuando la información se maneja y configura sin un conocimiento adecuado o con el uso imprudente de la tecnología,
se puede producir accidentalmente la divulgación de información confidencial.
• Una formación deficiente conduce a la pérdida de productividad documentada y sustancial.
• Los usuarios de negocios pueden tener una tendencia a abandonar las soluciones que los hagan sentirse incómodos, lo
que puede dar lugar a otros problemas potenciales, tales como:
− Sensación general de frustración del negocio hacia TI, o viceversa
− Los esfuerzos de desarrollo (costos) no ofrecen ningún valor añadido para la empresa.
− Cuestiones relativas a la utilización óptima de las licencias y el costo asociado
− Los usuarios recurren a soluciones informáticas de usuarios finales o la desintermediación con los consiguientes riesgos
relacionados que se describen en las siguientes secciones.
4.2.2 Información afectada

La Figura 37 enumera los elementos típicos o tipos de información que se ven afectados por la falta de capacidad para captar
las necesidades del usuario. Objetivos de calidad de la información que se procesa para apoyar a los usuarios de negocio no
pueden ser alcanzados, en función de la escala de desajuste.
Figura 37— Objetivos de calidad de la Información del lado de la demanda de Información

Elemento de Información Dimensiones de la calidad más relevantes Objetivos de calidad de la Información
Normalmente, este desajuste se produce para la La información de gestión son datos combinados. • La salida de los sistemas de información se
información de gestión que se utiliza para la toma de Los siguientes objetivos de calidad deberían configura con precisión, es creíble y relevante.
decisiones y está basada en fuentes de información aplicarse a la información combinada final. • Los usuarios pueden utilizar información
operacional. • Precisión interpretable completa y correcta para gestionar
• Credibilidad funciones de negocio.
• Relevancia
• Integridad
• Interoperabilidad
4.2.3 Objetivos de empresa y de TI afectados

El no entender y no cubrir las necesidades del usuario puede afectar a los siguientes objetivos a lo largo de los objetivos en
cascada:
• Los objetivos de calidad de la información listados en la figura 37 apoyan la consecución de los objetivos asociados
con una función de TI, por ejemplo objetivos relacionados con la TI enumerados en la figura 38.
• Los objetivos relacionados con la TI apoyan los objetivos de la empresa, que también aparecen en la figura 38. El fin
último del usuario de negocio es alcanzar lo mejor posible los objetivos generales de la empresa.

53
Figura 38— Objetivos en cascada ilustrativos para el lado de la demanda de Información

Objetivos TI y objetivos de Muchos objetivos relacionados con TI se pueden derivar. Los siguientes son algunos de los objetivos más importantes:
la función de negocio • ITG03 Compromiso de la dirección ejecutiva para la toma de decisiones relacionadas con TI
• ITG05 Beneficios materializados por portafolio de inversiones y servicios habilitados por TI
• ITG06 Transparencia en los costes, beneficios y riesgos de TI
• ITG07 Entrega de servicios de TI alineada con los requerimientos del negocio
• ITG08 Uso adecuado de soluciones de aplicaciones, información y tecnología
• ITG12 Habilitación y apoyo a los procesos de negocio mediante la integración de aplicaciones y la tecnología en los procesos
empresariales
• ITG14 Disponibilidad de información confiable y útil para la toma de decisiones
• ITG16 Personal de TI competente y motivado
Objetivos de la empresa • EG01 valor para las partes interesadas de las inversiones empresariales
• EG02 Portafolio de productos y servicios competitivos
• EG05 Transparencia financiera
• EG06 Cultura de servicio orientado al cliente
• EG09 Toma de decisiones estratégicas basadas en Información
• EG17 Cultura de innovación empresarial y de producto
4.2.4 Catalizadores para abordar la cuestión

COBIT 5 es un marco global para la gobernanza y la gestión de las TI de la empresa; por lo tanto, es posible hacer frente a la
cuestión de la demanda / uso de la información utilizando COBIT 5. La Figura 39 da un conjunto de catalizadores que
pueden ser útiles para lograr los beneficios deseados al tiempo que optimiza el riesgo y el uso de recursos.
Figura 39—Conjunto ilustrativo de catalizadores para el lado de la demanda de información

Catalizador ¿Cómo puede este catalizador ayudar a abordar el problema?
Principios, políticas y Establecer normas / orientación en la captura, aplicación y revisión de las necesidades del usuario de negocio y garantizar un uso
marcos generales efectivo y eficiente de la información y la tecnología relacionada, incluyendo:
• El uso de ciclos de vida de desarrollo de software bien definidos y gestionados
• Orientación adecuada en materia de gestión de la demanda, gestión del cambio y de requerimientos, gestión de apoyo y relación
con el usuario
• La implementación definida de un marco de gobernanza empresarial y de gestión que incluya responsabilidades para TI, gestión
de relaciones, gestión de requerimientos, etc.
• Un marco de referencia útil de consulta para una gestión más detallada de la demanda y del uso de la información es Business
Información Services Library (BiSL®) (www.aslbislfoundation.org)
Procesos Una serie de procesos de gobierno y de gestión (de COBIT 5: Procesos catalizadores) son relevantes en el contexto de la falta de
capacidad para entender las necesidades del usuario, y se puede utilizar para definir un conjunto de prácticas de gestión, capaces
de hacer frente a este problema:
• EDM02 Asegurar la entrega de beneficios
• APO01 Gestionar el marco de gestión de las TI
• APO07 Gestionar los recursos humanos
• APO08 Gestionar las relaciones
• APO09 Gestionar los acuerdos de servicio
• APO11 Gestionar la calidad
• BAI02 Gestionar la definición de requerimientos
• BAI06 Gestionar los cambios
Estos procesos permiten a una organización disminuir la discrepancia entre el usuario y TI mediante la aclaración de la
responsabilidad de cada parte en la relación.
Estructuras organizativas La responsabilidad clave para superar este problema recae en:
• CIO: Responsable de gestionar la relación entre TI y negocio
• Ejecutivos de negocio
Otras funciones relacionadas pueden incluir:
• Jefatura de Desarrollo
• Jefatura de operaciones TI
• Dirección de servicio
• Dirección de relaciones de negocio
• Dirección de Información
• Usuarios clave

CAPÍTULO 4
Figura 39—Conjunto ilustrativo de catalizadores para el lado de la demanda de información (cont.)
Catalizador ¿Cómo puede este catalizador ayudar a abordar el problema?
Cultura, ética y conducta Los siguientes conductas son importantes para mejorar la relación entre TI y el negocio
• Apertura e interés tanto en actividades de negocio como de TI
• La “mejora continua” es promovida y ejecutada
Una cultura de transparencia y participativa es un punto de enfoque importante.
Información Una serie de elementos de información son esenciales para la mejora de la relación entre TI y el negocio:
• Requerimientos documentados
• Solicitudes de cambio documentadas
• Expectativas de negocio
• Análisis de satisfacción
• Plantilla de desarrollo de requerimientos
• Documentación de la arquitectura de procesos de negocio
• Estrategia de información (relacionada con la estrategia de negocio)
• Impacto de las necesidades del negocio en términos comprensibles de beneficios, costos y riesgos
Expectativas y acuerdos de negocio (por ejemplo Acuerdo de nivel de servicio [SLA – Service Level Agreement])
Servicios, infraestructuras y Una serie de servicios y herramientas (habitualmente proporcionadas por la función TI) son pertinentes para superar la
aplicaciones discrepancia entre negocio y TI:
• Herramientas de modelado y simulación de procesos de negocio
• Herramientas de modelado de dinámica de sistemas
• Herramientas de arquitectura de empresa estructurada basadas en repositorios
• Herramientas para elaborar diagramas (por ejemplo Microsoft® Visio®)
• Herramientas de ingeniería de software asistida por computadora (CASE – Computer assisted software engineering), incluyendo
Lenguaje unificado de modelado (UML™ - Unified Modeling Language) y aproximaciones más antiguas.
• Herramientas de gestión de requerimientos
• Herramientas maquetado y prototipo de sistemas
• Arquitectura de empresa (herramientas de modelado)
Personas, habilidades y Las habilidades y competencias requeridas para mejorar la relación entre TI y el negocio incluyen un cierto nivel de afinidad entre el
competencias personal de TI y el negocio. Además, la formación debe ser prevista tanto para TI y el negocio:
• TIC: mejorar su conocimiento de los procesos de negocio
• Propietarios de procesos de negocio y miembros del personal relacionados: Existen varias soluciones fáciles de usar que
permiten a los usuarios de negocios estructurar la información requerida
• Formación para usuarios finales

55

CAPÍTULO 4
4.3 Aspectos de Gobernanza/Gestión de la Información: Conocimiento

en Marketing Situacional (Dimensión 1 del Big Data: Variedad de la
Información)
4.3.1 Descripción del problema y contexto de negocio
El equipo de marketing de una empresa desea incrementar el conocimiento y la capacidad de respuesta a las
percepciones del público sobre la oferta de su compañía. En las fuentes de datos se incluyen posts en redes sociales,
blogs tradicionales y micro-blogs, portales sociales y conversaciones de audio entre clientes y representantes del
servicio. La empresa quiere correlacionar el sentimiento detectado en los canales online y de call center, con las
tendencias de ventas en varios segmentos y regiones de todo el mundo. Se requiere conversión de habla a texto,
indexación de web y proceso de texto de lenguaje natural. En términos de big data, esto es un aspecto de variedad.

La Figura 40 relaciona los ítems típicos de información o tipos afectados por el uso sub-óptimo de una gran variedad
de fuentes de información. También contiene los criterios más relevantes de calidad y objetivos para estos ítems de
información en el contexto dado de big data.
Figura 40—Relación de objetivos de calidad de la información ilustrativos para el conocimiento de marketing situacional
Ítem de información Dimensión más relevante de Calidad Objetivo de Calidad de Información
Informes de marketing • Relevancia • La empresa basa decisiones importantes en
• Exactitud análisis correctos de mercado.
• Disponibilidad • La percepción del cliente se analiza y usa de
• Actualidad la forma más óptima posible.
• Integridad
• Credibilidad
Estrategias de producto • Relevancia El lanzamiento al mercado de nuevos productos
• Exactitud se planifica cuidadosamente para obtener la
• Disponibilidad máxima exposición y retorno.
• Actualidad
• Integridad
4.3.3 Objetivos afectados

El uso sub-óptimo de una gran variedad de fuentes de información puede, a través de la cascada de objetivos, afectar los
siguientes objetivos:
• Los objetivos de calidad de la información relacionados en la Figura 40 soportan el alcance de los objetivos que están
asociados con la función de TI, es decir, objetivos de TI, que se relacionan en la Figura 41.
• Los objetivos de TI dan soporte a los objetivos de la empresa, que también se relacionan en la Figura 41. El propósito
final del usuario de negocio es conseguir mejor los objetivos globales de la empresa.
Figura 41—Cascada ilustrativa de objetivos para el conocimiento de marketing situacional

Objetivos de TI y de las Muchos objetivos relacionados con TI se pueden derivar. Los siguientes son algunos de los objetivos más importantes:
funciones de negocio • ITG09 Agilidad de TI
• ITG12 Uso adecuado de aplicaciones, información y soluciones tecnológicas
• ITG14 Disponibilidad de información fiable y útil para la toma de decisiones
• ITG17 Conocimiento, experiencia e iniciativas para innovación en el negocio
Objetivos de la empresa • EG08 Respuestas ágiles a un entorno de negocio cambiante
• EG09 Toma de decisiones estratégicas basadas en información
• EG17 Cultura de innovación de productos y negocio

57
4.3.4 Catalizadores para abordar el tema

COBIT 5 es un modelo completo para la gobernanza y la gestión de las TI en la empresa; por ello, su uso permite
enfocar este aspecto utilizando COBIT 5. La Figura 42 proporciona un conjunto de catalizadores que pueden ser
útiles para obtener los beneficios deseados junto con la optimización de los riesgos y uso de recursos.
Figura 42—Conjunto ilustrativo de catalizadores para el conocimiento de marketing situacional

Catalizador ¿Cómo este catalizador ayuda a abordar la cuestión?
Principios, Políticas y Aportando reglas/guías en la captura, implementación y revisión de las necesidades de los usuarios de negocio, incluyendo:
Marcos de trabajo • Políticas especificando el uso de las redes sociales por los empleados y por la empresa, ambos como entrada y salida de
información
• Política de privacidad
• Política de protección de datos
• Gestionando el conocimiento a través de la empresa
• Políticas para la gobernanza del big data
Procesos Varios procesos de gobernanza y gestión (de COBIT 5: Procesos Catalizadores) son relevantes en el contexto del uso sub-óptimo
de una gran variedad de fuentes de información, y pueden ser usados para definir un conjunto de prácticas de gestión capaz de
tratar sobre este aspecto:
• EDM04 Asegurar la optimización de recursos.
• APO04 Gestionar la innovación
• APO13 Gestionar la seguridad.
• BAI08 Gestionar conocimiento.
• MEA01 Monitorear, evaluar y valorar rendimiento y conformidad.
Estructuras organizativas Las responsabilidades clave para triunfar en este aspecto residen en:
• El departamento de Marketing, quién debe identificar las diferentes fuentes de información
• Grupo responsable para gestionar los sistemas de “Business Intelligence” que ayudan a comprender, capturar y almacenar la
información
• CIO

• Jefe de desarrollo
• Jefe de operaciones de TI
Cultura, Ética y Los siguientes conductas son importantes para usar óptimamente una gran variedad de información:
Conducta • Una mentalidad crítica con relación a:
– La forma de trabajo actual
– Inversión necesaria para analizar la información comparada con el valor añadido en este esfuerzo
• Se requiere una cultura de no culpabilice cuando se producen errores en relación a tendencias y evoluciones
• Una fuerte cultura de lecciones aprendidas
Información Algunos ítems de información son esenciales para utilizar óptimamente una gran variedad de información para obtener la
percepción del cliente:
• Comunicación con el cliente:
– La empresa debe completar el flujo de reacciones/interacciones de clientes y mercado, incluyendo canales nuevos y antiguos
y comunicaciones del servicio de clientes. Por ejemplo, audio convertido a texto; texto no estructurado analizado con
procesamiento de lenguaje natural; desarrollo de modelos semánticos y de opiniones.
• Opinión del cliente (satisfacción/insatisfacción):
– Las opiniones de los clientes se estructuran y cuantifican a lo largo de las apropiadas dimensiones.
– Las tendencias son monitoreadas y reportadas.
• Correlación de opiniones y ventas:
– Se comprende la correlación entre opiniones y ventas
– Marketing puede utilizar los análisis de opiniones/ventas para generar estrategias nuevas y estables.
• Aspectos de relaciones públicas identificados y asesoramiento adecuado para reaccionar:
– Se identifican y escalan tendencias negativas importantes en base a su urgencia a los líderes ejecutivos y las comunicaciones
corporativas.
– Se evitan falsos negativos y falsos positivos.
Servicios, Infraestructura Un conjunto de servicios y herramientas (en general suministrados por la función TI) son relevantes para comprender, capturar y
y Aplicaciones almacenar la información:
• Soluciones de “Business Intelligence”
• Herramientas automatizadas de análisis de datos
• Herramientas de investigación forense
• Infraestructura adecuada para dar soporte al almacenamiento de grandes volúmenes de información analizada y en bruto
• Transcripción automatizada de voz a texto
• Herramientas de análisis semántico (por ejemplo, IBM Watson)
• Herramientas estadísticas basadas en estaciones de trabajo (IBM SPSS, SAS)
Personas, Habilidades y Además de habilidades de marketing necesarias para identificar y comprender las fuentes de información, también se precisa de
Competencias TI una importante capacidad analítica. Un importante conocimiento de los producto de sistemas analíticos de TI (BI, investigación
forense, etc) se completa con una mentalidad de negocio y abierta al cambio.

CAPÍTULO 4
4.4 Aspectos de Gobernanza/Gestión de la Información: Detección del fraude

(Dimensión 2 del Big Data: Velocidad de la Información)
El valor de este aspecto se demuestra en la prevención del fraude basado en su impacto como evento. A un comerciante
le preocupa detectar transacciones online fraudulentas. La actividad fraudulenta puede ser muy sofisticada,
involucrando múltiples transacciones en un periodo de tiempo. Esta actividad puede conllevar mecanismos de pago
(por ejemplo, tarjetas de crédito fraudulentas) o la manipulación de políticas de empresa sobre entregas y devoluciones.
Es importante entender las tendencias de fraude actuales en una región concreta o sector comercial.
El reto en la obtención de la Información que se necesita es el masivo flujo y alta velocidad de las transacciones; los
patrones deben ser detectados en tiempo real a través de cientos de transacciones por minuto. En términos de datos
grandes, se trata de una cuestión de velocidad.

La Figura 43 relaciona los ítems típicos de información o tipos afectados por el fraude. También contiene los criterios
más relevantes de calidad y objetivos de calidad para estos ítems de información.
Figura 43—Cascada de objetivos de Calidad ilustrativa para la detección del fraude

Firma del fraude • Relevancia • Los patrones relevantes de fraude son
• Exactitud condensados de las transacciones de comercio
• Disponibilidad/Actualidad electrónico.
• Integridad • Los patrones de fraude son reconocidos con
exactitud del conjunto de transacciones.
• Los nuevos patrones de fraude se validan e
incorporan al estatus operacional.
Informes de posibles fraudes • Disponibilidad • Las transacciones fraudulentas son reconocidas
• Actualidad de forma temprana y reportadas al centro de
• Representación concisa/comprensible operaciones de seguridad.
• Los patrones de fraude existentes y conocidos
forman parte de las firmas a contrastar.
Informes de tendencias en fraude • Disponibilidad • Los informes de tendencias de fraude de fuentes
• Actualidad internas y del mercado están disponibles pronto.
• Representación concisa/comprensible • Los informes de tendencias de fraude son
actuales.
• Los informes de tendencias de fraude son
comprensibles.

El uso inadecuado de información que cambia rápidamente puede afectar los siguientes objetivos a través de la
cascada de objetivos:
• Los objetivos de calidad de la información relacionados en la Figura 43 soportan el alcance de los objetivos que
están asociados con la función de TI, es decir, objetivos de TI, que se relacionan en la Figura 44.
• Los objetivos de TI dan soporte a los objetivos de la empresa, que también se relacionan en la Figura 44. El
propósito final del usuario de negocio es conseguir mejor los objetivos globales de la empresa.
Figura 44—Cascada de objetivos ilustrativa para la detección del fraude

Objetivos de TI y de las Muchos objetivos de TI pueden ser secundarios. A continuación se presentar varios de los objetivos más importantes:
funciones de negocio • ITG04 Riesgo de negocio relacionado con TI gestionado
• ITG10 Seguridad de la información, infraestructura de proceso y aplicaciones
• ITG12 Hacer posible y dar soporte a los procesos de negocio integrando aplicaciones y tecnología en los procesos de negocio
• ITG14 Disponibilidad de información fiable y útil para la tome de decisiones
• ITG16 Personal competente y motivado en los ámbitos de negocio y de TI
Objetivos de la empresa • EG03 Riesgos de negocio gestionados (salvaguardando los activos)

59

encarar el aspecto utilizando COBIT 5. La Figura 45 proporciona un conjunto de catalizadores que pueden ser
útiles para obtener los beneficios deseados junto con la optimización de los riesgos y uso de recursos.
Figura 45—Conjunto ilustrativo de catalizadores para la detección del fraude

Principios, Políticas y Aportando reglas/guías en la prevención y detección del fraude, incluyendo:
Marcos de Trabajo • Política de cumplimiento regulatorio
• Política de protección de datos
• Marco de trabajo de control interno
• Política y principios de seguridad de la información
• Política de continuidad de negocio y recuperación frente a desastres.
• Política de riesgo de fraude
Procesos Varios procesos de gobernanza y gestión (de COBIT 5: Procesos Catalizadores) son relevantes en el contexto de prevención y
detección del fraude, y pueden ser usados para definir un conjunto de prácticas de gestión capaz de tratar sobre este aspecto:
• EDM03 Asegurar la optimización del riesgo.
• APO12 Gestionar el riesgo.
• BAI03 Gestionar la identificación y desarrollo de soluciones.
• BAI08 Gestionar el conocimiento.
• BAI09 Gestionar los activos.
• DSS05 Gestionar los servicios de seguridad.
Estructuras Organizativas Las responsabilidades clave para triunfar en este aspecto residen en:
• CFO
• Representación legal
• CISO (Chief Información Security Officer)
• Comité se seguimiento de seguridad de la información
• Gestor de seguridad de la información
• Función de riesgo
• CIO

Cultura, Ética y Los siguientes conductas son importantes para detectar eficientemente el fraude:
Conducta • Las personas respetan la importancia de los principios y políticas de seguridad de la información.
• La “mejora continua” se promueve y se realiza.
• Actitud positiva respecto aspectos crecientes y resultados negativos
Información Algunos ítems de información son esenciales para detectar el fraude dada la rapidez con que la información cambia:
• Transacciones de datos
• Información de clientes
• Percepciones de patrones de fraude usando imágenes de cámaras
• Información hecha pública por reguladores y agentes locales
• Percepciones de tendencias de grupos de interés especializados y analistas
• Documentación de seguridad de la información y configuración de sistemas
Servicios, Infraestructura y Un conjunto de servicios y herramientas (en general suministrados por la función TI) son relevantes para prevenir y detectar
Aplicaciones eficientemente el fraude:
• Sistemas de detección de fraude
• Otras medidas de seguridad
• Proceso continuo del flujo de consultas
Personas, Habilidades y Se requieren habilidades técnicas para establecer la seguridad necesaria y realizar la detección de fraude necesaria. Asimismo se
Competencias requieren habilidades analíticas para percibir tendencias de fraude.

CAPÍTULO 4
4.5 Aspectos de Gobernanza/Gestión de la Información: Análisis

predictivo de TI (Dimensión 3 del Big Data: Volumen de Información)
Las infraestructuras de TI modernas generan un gran volumen de información (logs). La minería de datos y el
análisis predictivo pueden proveer de conocimiento sobre los fallos de los sistemas analizando estos logs. Se facilita
el análisis de la causa raíz, y de estos datos a veces se pueden predecir incidentes y problemas emergentes.
Idealmente, los logs son analizados y con sistemas de gestión de datos (incidentes, cambios, ítems de configuración
y dependencias) para proveer una visión completa de lo sucedido, el motivo y si está presente algún riesgo
emergente. En términos de big data, es una cuestión de volumen.

La Figura 46 relaciona los ítems de información, dimensiones de calidad y objetivos de calidad.
Figura 46—Cascada de objetivos de Calidad ilustrativa para Análisis predictivo de TI

Sistemas de gestión de telemetría • Integridad Acceso completo al flujo/archivo de “logs” de gestión
• Actualidad del sistema e información relacionada
Datos de gestión del servicio (incidentes, cambios, • Relevancia Representación completa del soporte al servicio y
liberaciones, ítems de configuración, • Exactitud procesos de entrega, especialmente operacional
dependencias, SLAs) • Disponibilidad/Actualidad
• Integridad
Análisis de causa raíz • Actualidad Análisis derivado de datos combinados mostrando
• Relevancia las probables causas raíz de incidentes y problemas
• Integridad recurrentes, apropiado como entrada para la gestión
de problemas para mitigarlos
Problemas identificados de forma proactiva • Actualidad Análisis derivado de datos combinados utilizando
• Representación concisa/comprensible aprendizaje automatizado u otras técnicas
apropiadas para identificar firmas de fallos anteriores
e indicaciones potenciales de su ocurrencia, como
entrada en incidentes, problemas o procesos de
mejora continua de servicio. Los datos también se
pueden usar para diagnóstico continuo y monitoreo,
de esta manera los patrones y anomalías se
detecten antes de que aparezcan problemas en el
sistema.

El proceso ineficiente de grandes volúmenes de información del sistema puede afectar los siguientes objetivos a
través de la cascada de objetivos:
• Los objetivos de calidad de la información relacionados en la Figura 46 soportan el alcance de los objetivos que están
asociados con la función de TI, es decir, objetivos de TI, que se relacionan en la Figura 47. En particular, los datos
históricos pueden ser usados para diagnóstico continuo y monitoreo para que patrones y anomalías puedan ser
detectadas antes de que aparezcan problemas en el sistema, optimizando el valor de los activos de TI de la empresa.
• Los objetivos de TI dan soporte a los objetivos de la empresa, que también se relacionan en la Figura 47. El
propósito final del usuario de negocio es conseguir mejor los objetivos globales de la empresa.
Figura 47— Cascada de objetivos ilustrativa para Análisis predictivo de TI

Objetivos de TI y de las Nótese que estos objetivos reflejan la naturaleza circular de “TI para TI”, lo cual es aún valioso desde una perspectiva de negocio
funciones de negocio debido al hecho que la inversiones de TI son altamente ventajosas. A continuación hay varios de los objetivos más importantes:
• ITG11 Optimización de los activos de TI, recursos y capacidades
• ITG14 Disponibilidad de información confiable y útil para la toma de decisiones
Objetivos de la empresa • EG07 Continuidad y disponibilidad de los servicios de negocio

61

COBIT 5 es un modelo completo para la gobernanza y la gestión de las TI en la empresa; por ello, es posible encarar
este aspecto utilizando COBIT 5. La Figura 48 proporciona un conjunto de catalizadores que pueden ser útiles para
obtener los beneficios deseados junto con la optimización de los riesgos y uso de recursos.
Figura 48—Conjunto ilustrativo de catalizadores para Análisis predictivo de TI

Enabler ¿Cómo este catalizador ayuda a abordar la cuestión?
Principios, Políticas y Aportando reglas/guías para el proceso eficiente de grandes volúmenes de información del sistema, incluye:
Marcos de trabajo • Políticas para la gobernanza de “big data”, incluyendo, si es apropiada, la política de privacidad
• Marco de trabajo de control interno, prácticas de control operacional
• Marco de trabajo de gobernanza, riesgo y cumplimiento (GRC) para monitorear la fidelidad a estas prácticas de control interno
• Política de gestión de relación con clientes (CRM) que requiere la supresión de estos datos de forma periódica para mantener los
requisitos de la política de privacidad de los clientes
Son marcos de trabajo de referencia y útiles para consultar:

• DMBOK
• ISO/IEC 11179 Registro de metadatos
Procesos Varios procesos de gobernanza y gestión (tomados de COBIT 5: Procesos Catalizadores) son relevantes en el contexto de
proceso eficiente de grandes volúmenes de información del sistema, y pueden ser usados para definir un conjunto de prácticas de
gobernanza y gestión capaz de tratar sobre este aspecto:
• EDM04 Asegurar la optimización de los recursos.
• APO02 Gestionar la estrategia.
• APO03 Gestionar la arquitectura empresarial.
• APO11 Gestionar la calidad.
• BAI03 Gestionar la identificación y desarrollo de soluciones.
• BAI04 Gestionar la disponibilidad y la capacidad.
• BAI10 Gestionar la configuración.
• DSS04 Gestionar la continuidad.
Estructuras organizativas Las responsabilidades clave para triunfar en este aspecto residen en:
• Gestor de seguridad de la información
• CIO

• Jefe de arquitectura
Cultura, Ética y Los siguientes conductas son importantes para procesar eficientemente grandes volúmenes de información del sistema:
Conducta • Cultura de lideraje
• Sentido de propiedad
Información Algunos ítems de información son esenciales para procesar eficientemente grandes volúmenes de información del sistema:
• Principios de arquitectura
• Guías de clasificación de datos
• Alcance definido de la arquitectura
• Principios guía para la arquitectura empresarial
• Modelo de arquitectura de la información
• Modelo de arquitectura de procesos
• Arquitecturas de transición
Servicios, Infraestructura y Un conjunto de servicios y herramientas (en general suministrados por la función TI) son relevantes para procesar eficientemente
Aplicaciones grandes volúmenes de información del sistema:
• Herramientas analíticas
• Mecanismos para almacenamiento y recuperación de datos, por ejemplo, repositorios NoSQL
• La arquitectura empresarial puede ser clave para reducir la creación de silos de datos.
Personas, Habilidades y Habilidades requeridas para procesar eficientemente grandes volúmenes de información del sistema:
Competencias • Experiencia técnica
• Curiosidad: el deseo de ir debajo de la superficie y descubrir y destilar un problema en un conjunto muy claro de hipótesis que
pueden ser probadas
• Narración: la habilidad de usar datos para contar una historia y ser capaz de contarla de forma eficaz
• Inteligencia: la habilidad de observar un problema de formas diferentes y creativas
• La naturaleza de amplio alcance de los proyectos de análisis de “big data” pueden tener aspectos incómodos: los datos deben
salir de los silos para ser tratados, y la organización debe aprender cómo comunicar e interpretar los resultados del análisis.
Las habilidades de narración e inteligencia son los factores de entrada que en última instancia dictan si los beneficios de las tareas
analíticas son digeridas por la organización.

CAPÍTULO 4
4.6 Aspectos de Gobernanza/Gestión de la Información:

Datos maestros y de referencia
La administración de datos maestros comprende un conjunto de procesos, políticas, estándares y herramientas que
definen y gestionan de forma consistente los datos de referencia y maestros en una organización.
En algunas organizaciones se distingue entre dato de referencia y maestro, en otras, con frecuencia, solo se usa el
término dato maestro para referirse a ambos:
• Dato de Referencia es el utilizado para clasificar o categorizar otros datos10. Este término normalmente se restringe a
algunos valores permitidos también llamados el Dominio de Valores. Pueden definirse internamente (por ejemplo,
estado de solicitud, estado de orden de las ventas) o externamente (por ejemplo, códigos oficiales de país, códigos de
moneda, códigos de procedimiento médico para facturación). Los datos de referencia cambian con poca frecuencia. Los
metadatos sobre los datos de referencia pueden incluir:
− Significado y finalidad del Dominio de valores de referencia
− Tablas de referencia y bases de datos donde se utiliza el dato
− Origen de Datos
− Versión y fecha de la última actualización
− Roles (RACI) respecto al dato
• Dato Maestro es el que proporciona el contexto para las transacciones empresariales. Los tipos comunes incluyen
información sobre:
− Agentes— individuos u organizaciones— y sus funciones (cliente, vendedor, proveedor, empleado, regulador,
ciudadano, etc.)
− Productos
− Estructuras Financieras (entidades financieras, centros de coste, etc.)
− Ubicaciones
La finalidad de los Datos Maestros es identificar o desarrollar y mantener una única fuente auténtica (ocasionalmente
denominada un “registro oro”) para cada ítem relevante de información, por ejemplo, producto, ubicación,
componentes. Los retos en la gestión de los Datos Maestros incluyen respuestas a las cuestiones siguientes:
− ¿Qué datos se comparten?
− ¿Qué componentes, productos, ubicaciones que se usan en las diferentes etapas del proceso empresarial?
− ¿Qué datos describen las mismas cosas?
− ¿Cuál es la fuente de estos datos y donde se almacenan?
− ¿Qué versión es la más exacta, más fiable, más reciente?
− ¿Qué datos de diferentes fuentes pueden integrarse con un beneficio para la organización?
− ¿Cómo los “registros oro” encuentran su camino en los otros sistemas de la empresa?
Los datos de referencia y maestros proporcionan el contexto para los datos transaccionales. Los aspectos habituales sobre
la gestión de datos maestros, por ejemplo las consecuencias de una gestión inadecuada, incluyen:
• Baja calidad de los datos y la información
• Problemas de integridad de los procesos de negocio
• Los resultados de los procesos de negocio no son los esperados
• Problemas en el servicio al cliente resultado de definiciones inconsistentes (atributos, etc.) en los canales de interacción
con el cliente
Consecuentemente las líneas empresariales, relacionadas con los objetivos de empresa para las iniciativas de gestión de
datos maestros, incluyen:
• Mejorar la calidad de datos e integración entre diferentes fuentes.
• Ofrecer una visión consolidada de 360º en la información sobre socios empresariales importantes, productos y
funciones. En especial para los informes, las analíticas y los procesos de decisión resultantes.
Estas iniciativas de gestión de datos maestros las motiva, frecuentemente, una nueva visión (relacionada con cambios de
personal), situaciones problemáticas causadas por problemas en la calidad de datos o un proyecto importante en el que
puede integrarse la gestión de datos maestros.
10
Fuente: Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009

63

La Figura 49 relaciona los ítems de información, dimensiones de calidad y objetivos.
Figura 49—Relación de objetivos de calidad para la gestión de datos de referencia y maestros

• Datos operacionales (clientes, proveedores, etc.) • Exactitud Datos empresariales claros y completos que dan
• Datos de producto • Objetividad soporte a la consecución de los objetivos de la
• Datos maestros financieros • Integridad empresa
• Datos de ubicaciones • Representación consistente
• Reputación
Datos de referencia • Disponibilidad Disponibilidad de datos de referencia completos y
• Actualidad actualizados
• Integridad
• Exactitud
• Relevancia
Metadatos sobre datos de referencia y maestros • Disponibilidad Disponibilidad de datos de referencia completos y
• Actualidad actualizados
• Exactitud

A lo largo de la cascada de objetivos, la gestión de datos de referencia y maestros puede, en ambos sentidos, involucrar
los objetivos siguientes:
• Los objetivos de calidad de la información relacionados en la figura 49 dan soporte a la consecución de los que están
asociados con una función TI, por ejemplo los objetivos relacionados con las TI que se listan en la figura 50.
• Los objetivos relacionados con las TI, dan soporte a los objetivos empresariales que se relacionan en la figura 50. Tal
como frecuentemente se indica, la gestión de los datos de referencia y maestros beneficia el negocio en la efectividad
en las operaciones, la confianza del cliente y el liderazgo en productos y servicios. En terminología de COBIT 5, estos
beneficios para el negocio se transforman en la cascada de objetivos empresariales que se presenta en la figura 50.
Figura 50—Cascada ilustrativa de objetivos para la Gestión de Datos de Referencia y Maestros

Objetivos de TI y de las Muchos objetivos TI pueden ser secundarios. En la relación siguiente se indican los más importantes:
funciones de negocio • ITG04 Riesgo de negocio relacionado con la gestión de TI
• ITG08 Uso adecuado de aplicaciones, información y soluciones tecnológicas
• ITG11 Optimización de los activos en TI, recursos y capacidades.
• ITG12 Facilitación y soporte de los procesos de negocio integrándolos con las aplicaciones y tecnología.
• ITG14 Disponibilidad de información fiable y útil para la toma de decisiones
Metas Corporativas • EC01 Valor para el accionista de las inversiones en el negocio
• EG02 Portfolio of productos y servicios competitivos
• EG03 Riesgo de negocio gestionado (salvaguarda de activos)
• EG07 Continuidad y disponibilidad de los servicios de negocio
• EG09 Toma de decisiones estratégicas soportadas en información
• EG10 Optimización de costes de servicios de entrega
• EG11 Optimización de las funcionalidades de los procesos de negocio
• EG12 Optimización de los costes de los procesos de negocio
• EG14 Productividad operativa y de los empleados

CAPÍTULO 4

orientar el aspecto de la gestión de datos maestros. La figura 51 proporciona un conjunto de catalizadores que pueden
ser útiles para obtener los beneficios deseados en la optimización de los riesgos y uso de recursos en la gestión de
datos maestros.
Figura 51–Conjunto ilustrativo de catalizadores para la Gestión de datos de referencia y maestros

Principios, Políticas y La aportación de reglas/guías para la gestión de datos maestros y de referencia incluye:
Marcos de trabajo • Establecer los principios para su gestión tales como11:
– Los datos de referencia y maestros compartidos pertenecen a la empresa, no a una aplicación en concreto o a un
departamento.
– La gestión de datos de referencia y maestros es un programa continuo de mejora de calidad, sus objetivos no pueden
alcanzarse por un único proyecto.
– La responsabilidad para gestionar estos datos se atribuye a “administradores de datos” que, en grandes empresas, asumen el
papel de arquitectos de la información u otros roles similares y, en pequeñas empresas, generalmente se asocian a una
función TI con rol de gestión de datos.
– Los “registros de oro” representan los mejores esfuerzos que hace la empresa para determinar los datos más exactos,
actuales y relevantes.
– Replicar los valores de datos maestros solo de la base de datos de registro.
• Respecto a los datos debe existir un conjunto de guías de clasificación, de políticas de integridad, de seguridad, gobernanza y
gestión.
• Determinar la responsabilidad para las decisiones relativas a datos, en toda la empresa y no solo en el Departamento TI.
Procesos Varios procesos de gobernanza y gestión (de COBIT 5: Procesos Catalizadores) son relevantes en el contexto de la gestión de
datos maestros y de referencia, y pueden usarse para definir un conjunto de prácticas de gobernanza y gestión que tienen a ver
con este aspecto:
• EDM02 Asegurar la aportación de beneficios.
• EDM04 Asegurar la optimización de recursos.
• APO01 Gestionar el modelo de gestión TI.
• APO03 Gestionar la arquitectura de la empresa. (por ejemplo, gestionar la integración de datos)
• APO05 Gestionar portfolio.
• APO11 Gestionar calidad.
• APO12 Gestionar riesgo.
• BAI02 Gestionar la definición de requisitos. (por ejemplo, comprender las necesidades de integración de los datos de
referencia12)
• BAI03 Gestionar el desarrollo e identificación de soluciones. Por ejemplo:
– Identificar las fuentes y proveedores de datos de referencia.
– Implementar las soluciones respecto a gestión de datos maestros y de referencia.
– Gestionar las reglas de correspondencia.
– Establecer los “registros oro”.
• BAI05 Gestionar la facilitación del cambio organizativo.
• BAI06 Gestionar cambios.
• BAI08 Gestionar conocimiento.
• DSS06 Gestionar los controles de los procesos de negocio.
Los procesos identificados aquí no son de responsabilidad exclusiva de la función TI, si una empresa decide orientar la gestión de
datos de referencia, para hacerlo de forma eficiente y efectiva, debe abordar los procesos (y prácticas relacionadas) relacionados
aquí.
Estructuras organizativas Las siguientes estructuras/roles organizativos centrados en la información, son claves para dar soporte a las actividades de gestión
de los datos de referencia y maestros (Nota: no son roles actuales de RACI COBIT 5.):
• Comité de arquitectura de empresa
• Administradores de datos de negocio
• Arquitectos de Datos/Información
• Arquitectos de aplicaciones
• Proveedores de datos
• Arquitectos de integración de datos y desarrolladores
• Clientes de datos, por ejemplo:
– Usuarios de aplicaciones
– Usuarios de BI y de Informes
– Desarrolladores de aplicaciones
11
Fuente: Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009,
Sección 8.3.1
12
Fuente para todos los ejemplos de actividades mostrados en esta tabla: Data Management Association International (DAMA), The DAMA Guide to the Data
Management Body of Knowledge (DMBOK), USA, 2009, Sección 8.3.2

65
Figura 51–Conjunto ilustrativo de catalizadores para la Gestión de datos de referencia y maestros (cont.)
Cataliza ¿Cómo este catalizador ayuda a abordar la cuestión?
Cultura, Ética y Para controlar la gestión de datos maestros son importantes los hábitos siguientes:
Conducta • Enfoque hacia las personas. Los diferentes grupos de interés tienen necesidades de datos diferentes.
• Habilidades de negociación. Los administradores y arquitectos de datos precisan ser hábiles para negociar entre los diferentes
grupos de interés para avanzar gradualmente.
• Habilidad para pensar sin limitaciones considerando la perspectiva de empresa
Información Algunos ítems de información son esenciales para la gobernar y gestionar las iniciativas en la gestión de datos maestros:
• Diagrama de arquitectura de información
• Modelos de datos
• Métricas de calidad de datos
• Esquema de clasificación de datos
• Seguridad y control de datos
• Procedimientos de integridad de datos
• Reglas de combinación de registros
• Informes de calidad de datos
• Procedimientos de solicitud de cambio de datos, requisitos de datos de referencia y maestros, descripción de
fuentes de datos y colaboradores en éstos.
Servicios, Infraestructura y Un conjunto de servicios (en general suministrados por la función TI) son relevantes en el contexto de la gestión de datos
Aplicaciones maestros, por ejemplo:
• Herramientas de gestión de bases de datos maestros (Microsoft®, Oracle®, etc.)
• Aplicaciones de gestión de datos de referencia
• Aplicaciones de gestión de datos maestros
• Herramientas de modelado de procesos
• Repositorios de metadatos
• Herramientas de depuración de datos
• Herramientas de integración de datos
• Herramientas de gestión del cambio
• Motores de procesos y reglas de negocio
Personas, Habilidades y Algunos requisitos en habilidades y competencias para el manejo de la gestión de datos maestros incluyen a:
Competencias • Arquitectos de información
• Arquitectura de empresa

CAPÍTULO 4
4.7 Gobierno de la Información/Problema de Gestión: Informática de Usuario

Final
El glosario en línea de ISACA (www.isaca.org/glossary) define la informática del usuario final como la capacidad de los
usuarios finales de diseñar e implementar su propio sistema de información utilizando productos de software.
La informática de usuario final en un contexto de empresa/negocio no cuenta con una definición estricta; puede incluir un
amplio espectro de tecnologías y técnicas que permiten al usuario final construir sus propias aplicaciones de uso personal o
departamental. Muy a menudo, se crean para reemplazar o complementar aplicaciones corporativas que no cubren
adecuadamente los requerimientos de información personal o departamental, o que no los cubren con suficiente rapidez.
Frecuentemente, las aplicaciones de usuario final no se ejecutan en servidores corporativos, sino en estaciones de trabajo de
usuario o similares, utilizando, en la mayoría de casos, hojas de cálculo y aplicaciones basadas en bases de datos.
Los usuarios finales perciben una serie de beneficios en la informática de usuario final, ya que sienten que:
• Se encuentran legitimados y más capacitados para procesar información que cumpla sus propias necesidades
• Pueden obtener la información que requieren para conseguir sus objetivos de negocio mucho más rápido y en el formato
que necesitan
• Tienen mucha más flexibilidad en la obtención y procesamiento de la información que requieren
Desde un punto de vista de empresa, se identifican una serie de potenciales problemas de negocio y riesgos, tales como:
• El caso de negocio para la informática de usuario final acostumbra a ser muy informal y a estar basado en necesidades
departamentales y beneficios. La empresa podría perder la supervisión sobre las aplicaciones que se están desarrollando
y que se pondrán en operación, potencialmente con muchas duplicidades e ineficiencias. Aunque se pueda ganar
eficiencia a nivel departamental, este podría no ser necesariamente el caso a nivel corporativo.
• El control de calidad no tiene el mismo nivel en el desarrollo de informática de usuario final; por consiguiente, los
resultados del procesamiento podrían encontrarse más sujetos a errores, etc. De la misma forma, conseguir aplicaciones de
usuario final estables podría requerir más tiempo y esfuerzo del originalmente planificado (si se llegó a planificar).
• Las tecnologías utilizadas son usualmente más propensas a los errores de forma inherente. El nivel de especificación de
requerimientos y documentación es, a menudo, mucho más informal.
• En muchas ocasiones, la carga de datos en aplicaciones de usuario final no se encuentra automatizada y se realiza mediante
introducción manual; los datos incorporados podrían también malinterpretarse o la estructura de la carga de datos podría
cambiar, etc., con la consecuencia potencial de aplicaciones que devuelven resultados erróneos provenientes de datos de
entrada erróneos.
• El conocimiento de las aplicaciones de usuario final se encuentra habitualmente concentrado en una o unas pocas personas.
• El grado de capacitación de los usuarios finales para el desarrollo de aplicaciones varía ampliamente y no acostumbra a
formar parte del sistema de gestión de habilidades de la empresa (de forma contraria al departamento de TI). En otras
palabras, no existe una visión y gestión adecuada de las habilidades requeridas y, consecuentemente, podría darse una falta
de formación.
• No se asegura el cumplimiento con la arquitectura de información corporativa, la definición de datos y los esquemas de
clasificación; por ejemplo, las aplicaciones de usuario final podrían generar datos/informes que definan ciertos elementos
de información de forma diferente a otras aplicaciones corporativas.
• Habitualmente, el acceso a la información sensible de la empresa se encuentra protegido, pero una vez la información sale
de los sistemas corporativos y entra en las aplicaciones de usuario final, la garantía de la adecuada protección de la
información se pierde, incrementándose el riesgo de fuga de información.
• Relacionado con el riesgo anterior, la información se envía o comparte con todo tipo de nuevos dispositivos,
principalmente móviles, con los problemas de seguridad asociados.
• Con relación al riesgo anterior, la distribución (y el ciclo de vida en general) de la información resultante de aplicaciones
de usuario final es más difícil de gestionar y controlar.
• Dar soporte a una gran variedad de usuarios finales con diversos niveles de habilidades, de usuarios sujetos a un alto grado
de gobierno (controlados) a trabajadores cualificados con un alto grado de autonomía, es un reto.
• Una mayor potencial desvinculación de TI, por ejemplo, por el uso de servicios en la nube, software como un servicio
(SaaS – Software as a Service), etc.
• Gestionar y controlar información (semi)estructurada en hojas de cálculo y aplicaciones relacionadas es un reto. Las
versiones desactualizadas o intermedias no deberían distribuirse a terceros.
• Exposición al riesgo legal debido a incumplimientos normativos y de requisitos de conservación de la información. Se
podrían dar conflictos de propiedad intelectual si un empleado reclama la autoría de alguna aplicación de usuario final.
• Cuando se permite una política de 'trae tu propio dispositivo' (BYOD – Bring Your Own Device), el control sobre la
diseminación de la información resulta incluso más importante.

67
Cada empresa tiene la responsabilidad de sopesar las potenciales ventajas de la informática de usuario final y su riesgo
relacionado y decidir cómo gestionarlo, consiguiendo los máximos beneficios de la informática de usuario final, con niveles
óptimos de riesgo y recursos.
4.7.2.1 DIMENSIÓN DE METAS—METAS DE CALIDAD

La figura 52 lista objetos típicos de información o tipos afectados por la informática de usuario final. Las metas de calidad de
la información procesada y obtenida por la informática de usuario final podrían conseguirse o no, dependiendo de la calidad del
diseño, implementación y uso de la informática de usuario final.
Figura 52—Metas de Calidad ilustrativas de la información para la Informática de Usuario Final

Elemento de información Dimensión de Calidad más relevante Meta de Calidad de la Información
• Cualquier tipo de información en cualquier función • Exactitud • La información de salida de las aplicaciones de
de negocio puede estar sujeto al procesamiento • Objetividad usuario final es exacta, puntual, se encuentra
mediante informática de usuario final. • Relevancia disponible y es adecuada para la toma de
• Usualmente, la informática de usuario final se • Integridad decisiones de gestión.
utiliza en un contexto de obtención de información • Vigencia • La informática de usuario final y la información
para la toma de decisiones basada en fuentes de • Interpretabilidad resultante no incrementan el riesgo de la
información operacional. • Facilidad de manipulación información de la compañía.
• Disponibilidad
• Seguridad y accesibilidad
4.7.3 Metas afectadas

La informática de usuario final puede afectar a las siguientes metas a lo largo de la cascada de metas, en cualquiera de los
dos sentidos.13
• Las metas de calidad de la información listadas en la figura 52 apoyan la consecución de las metas que están asociadas con
una función de TI, esto es, metas de TI, que se encuentran listadas en la figura 53.
• Las metas de TI dan soporte a las metas de negocio, que también se encuentran listadas en la figura 53. El objetivo último del
usuario de negocio es conseguir de la mejor forma el conjunto de metas de la compañía. Las metas de negocio que están posiblemente
afectadas por la informática de usuario final se encuentran listadas en la figura 53.
Figura 53—Cascada ilustrativa de metas para Informática de Usuario Final

Metas de TI (MTI) y Metas Pueden derivarse muchas metas de TI. Algunas de las metas más importantes son:
de la Función de Negocio • MTI02 Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas
• MTI04 Riesgos de negocio relacionados con las TI gestionados
• MTI05 Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las TI
• MTI07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
• MTI08 Uso adecuado de aplicaciones, información y soluciones tecnológicas
• MTI09 Agilidad de las TI
• MTI10 Seguridad de la información, infraestructura de procesamiento y aplicaciones
• MTI11 Optimización de activos, recursos y capacidades de las TI
• MTI12 Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología en procesos de negocio
• MTI13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y
normas de calidad
• MTI14 Disponibilidad de información útil y relevante para la toma de decisiones
En términos más generales, las funciones de negocio que utilizan informática de usuario final tienen metas equivalentes, por
ejemplo:
• Disponibilidad de información fiable y útil para la toma de decisiones
• Acceso flexible y oportuno a la información requerida para la gestión de la función de negocio
Metas de Empresa (ME) Las siguientes pueden ser consideradas las metas de empresa más relevantes:
• ME03 Riesgo de negocio gestionados (salvaguarda de activos)
• ME04 Cumplimiento de leyes y regulaciones externas
• ME08 Respuestas ágiles a un entorno de negocio cambiante
• ME09 Toma estratégica de decisiones basadas en información
• ME11 Optimización de la funcionalidad de los procesos de negocio
• ME12 Optimización de los costes de los procesos de negocio
13
En cualquiera de los dos sentidos’ significa que un número de metas pueden ser influenciadas positivamente por una buena implementación de informática
de usuario final y que otras pueden ser influenciadas negativamente por una implementación de menor calidad de la informática de usuario final.

CAPÍTULO 4
4.7.4 Catalizadores para la solución del problema

COBIT 5 es un marco de trabajo completo para el gobierno y la gestión de la TI corporativa que permite a las empresas
solucionar los problemas derivados de la informática de usuario final. La figura 54 proporciona un conjunto de catalizadores
que pueden ayudar a lograr los beneficios deseados, a la vez que se optimiza el riesgo y el uso de recursos de informática de
usuario final.
Figura 54—Conjunto ilustrativo de catalizadores para Informática de Usuario Final

Catalizador ¿Cómo este catalizador ayuda a resolver el problema?
Principios, Políticas y Proporciona reglas/guías de adopción, uso, distribución y supresión de información en el contexto de la informática de usuario final,
Marcos de trabajo incluyendo:
• Definición de lo que se espera de los usuarios finales en términos de uso y custodia apropiados de los activos y privilegios
asignados
• Comunicación sobre qué cuestiones de informática de usuario va a gobernar y gestionar la empresa y cómo va a hacerlo
• Tratamiento de la información en dispositivos perimetrales
• Formación continua de los usuarios finales con responsabilidades
Los marcos de trabajo de referencia para consulta son:

• The Institute for End User Computing, Inc. (www.ieuc.org)
• ITIL® (www.itil-officialsite.com)
• COBIT 5 (www.isaca.org/COBIT)
• The Help Desk Institute (HDI®) (www.thinkhdi.com)
Procesos En el contexto de la informática del usuario final son relevantes una serie de procesos de gobierno y de gestión (de COBIT 5:
Procesos Catalizadores) y se pueden utilizar para definir un conjunto de prácticas de gobierno y de gestión capaces de tratar los
problemas de la informática de usuario final.
Los procesos identificados aquí no son responsabilidad exclusiva de la función de TI; más bien, si una función de negocio decide
utilizar informática de usuario final, ésta debería al menos participar en los siguientes procesos o poner en práctica sus propios
procesos:
• EDM02 Asegurar la entrega de beneficios.
• APO08 Gestionar las relaciones.
• APO09 Gestionar los acuerdos de servicio.
• APO10 Gestionar los proveedores (cuando las aplicaciones de usuario final y la infraestructura se encuentran subcontratadas).
• APO11 Gestionar la calidad.
• BAI03 Gestionar la identificación y construcción de soluciones.
• DSS02 Gestionar las peticiones y los incidentes del servicio.
• MEA01 Supervisar, evaluar y valorar rendimiento y conformidad.
• MEA02 Supervisar, evaluar y valorar el sistema de control interno.
Las aplicaciones de usuario final deberían también estar sujetas a la evaluación de la gestión y a auditorías internas.
Estructuras organizativas La responsabilidad clave en la informática de usuario final pertenece a:
• Los propietarios de los procesos de negocio
Funciones de apoyo a los servicios de usuario final:

• Función de centro de soporte
• Formación

• Arquitectura
• Seguridad
• Gestión de la continuidad del negocio
• Aseguramiento de la calidad
Culture, Ethics Los siguientes comportamientos son importantes para mantener el control sobre la informática de usuario final:
and Behaviour • Protección contra el uso no autorizado de información privilegiada por parte de compañías e individuos.
• Protección contra el abuso de los activos corporativos.
• Protección contra las brechas de seguridad.
• Asegurar la diligencia debida y la responsabilidad en el conocimiento y elaboración de informes corporativos, por
ejemplo, soportado por hojas de cálculo (esto es, las pruebas y control de calidad no sólo se requieren en el proceso
clásico de 'desarrollo TI').

69
Figura 54—Conjunto ilustrativo de catalizadores para Informática de Usuario Final (cont.)

Información Un número de elementos de información son esenciales para gestionar las iniciativas de informática de usuario final:
• Datos de empleados
• Datos de activos de TI
• Datos de configuración
• Datos de rendimiento de informática de usuario final (procesos y sistemas)
• Indicadores de proveedor
• Datos relacionados con la seguridad y los incidentes
• Requisitos legales y normativos
Servicios, Infraestructura y Un número de servicios (usualmente a ser proporcionados por la función TI) son relevantes en el contexto de la informática de
Aplicaciones usuario final:
• Gestión de los dispositivos móviles (MDM – Mobile Device Management)
• Cifrado
• Borrado remoto
• Operación remota
• Flujo de trabajo del centro de soporte y gestión del conocimiento
• Virtualización
• Servicios en la nube
Personas, Habilidades y Algunos requisitos de habilidades y competencias para la informática de usuario final incluyen:
Competencias • Deben desarrollarse o adquirirse habilidades adecuadas en las tecnologías utilizadas para la informática de usuario final
• Habilidades básicas de gestión de la calidad y desarrollo de software
• Gestión del conocimiento (documentación para reducir la dependencia excesiva en individuos concretos)
• Habilidades sociales y de comunicación

CAPÍTULO 4
4.8 Gobierno de la información /problema de gestión: desintermediación

La desintermediación describe una situación en la que los usuarios finales o los departamentos construyen sus propias
soluciones de información, evitando toda o la mayor parte de la participación del departamento de TI de la empresa. La
desintermediación está relacionada en cierta forma con la informática del usuario final, si bien, con la desintermediación,
se suelen adquirir soluciones y servicios más robustos (por ejemplo: la nube o las soluciones SaaS) comparados con las
aplicaciones informáticas de usuario final. Al igual que con las aplicaciones informáticas de usuario final, la
desintermediación se utiliza a menudo para reemplazar o complementar las aplicaciones corporativas que no resuelven
adecuadamente, o no lo bastante rápido, las necesidades de información personales o departamentales, haciéndolo
además a un coste más bajo y proporcionando una mayor autonomía.
Los usuarios finales perciben una serie de beneficios en la desintermediación, ya que sienten:
• Que se encuentran capacitados y más valorados para procesar la información según sus propias necesidades y/o se
sienten menos restringidos por el departamento de TI de la empresa
• Que pueden obtener la información que necesitan para lograr sus objetivos de negocio mucho más rápido y en el
formato que requieren
• Que disponen de mucha más flexibilidad en la obtención y procesamiento de la información requerida
Desde un punto de vista empresarial, a menudo se plantean riesgos potenciales, por ejemplo:
• El modelo de negocio de la desintermediación suele ser más informal y basado en necesidades y beneficios
departamentales, sin considerar ninguna dependencia. La empresa podría perder la supervisión sobre las aplicaciones
que se están desarrollando y que se pondrán en operación, potencialmente con muchas duplicidades e ineficiencias.
Aunque se pueda ganar eficiencia a nivel departamental, este podría no ser necesariamente el caso a nivel corporativo.
• Se generan gastos adicionales, p. ej. hay que establecer una serie de actividades de soporte asumidas por el
departamento (centro de ayuda al usuario, soporte, gestión de problemas, formación, mantenimiento de aplicaciones,
relaciones con los proveedores, etc.) que se tienen que incluir y podrían estar o no contabilizados en el caso de negocio.
• No se asegura el cumplimiento con la arquitectura de información corporativa ni las definiciones de datos, p. ej. las
aplicaciones desintermediadas pueden generar información/informes que definen ciertos elementos de información de
forma distinta a otras aplicaciones corporativas. Estos elementos de información pueden ser difíciles de integrar con
otras aplicaciones corporativas.
• Habitualmente, el acceso a los sistemas de información sensibles de la empresa se encuentra protegido, pero una vez
que los datos salen del sistema corporativo y entran en aplicaciones desintermediadas, la garantía de la adecuada
protección de la información se pierde. El control de acceso y la seguridad están parcialmente fuera de control.
• En relación al riesgo anterior, la información se carga o comparte con todo tipo de nuevos dispositivos, principalmente
móviles, con los problemas de seguridad asociados.
• En relación al riesgo anterior, la distribución (y en general el ciclo de vida) de la información resultante de las
aplicaciones de desintermediación es más difícil de gestionar y controlar.
• Hay menos seguridad de que todos los requisitos legales se hayan considerado debidamente, es decir, hay riesgo de
exposición legal, debido a incumplimientos normativos y de requisitos de conservación de la información.
Es responsabilidad de cada empresa sopesar las potenciales ventajas frente al riesgo y decidir cómo manejar la
desintermediación y cómo lograr los máximos beneficios de la desintermediación, con niveles óptimos de riesgo y
recursos.

La Figura 55 enumera los tipos o elementos de información típicamente afectados por la desintermediación. Las metas
de calidad de la información procesada y entregada por las soluciones desintermediadas podrían conseguirse o no, en
función de los servicios de desintermediación, su diseño, la implementación, el uso y el nivel de soporte.

71
Figura 55—Metas de calidad ilustrativas para la desintermediación

Elemento de información Dimensión de Calidad más relevante Meta de Calidad de la Información
Puede someterse a desintermediación cualquier tipo Los requisitos de dimensión de la calidad varían en • Todas las necesidades de proceso de
de información en cualquier función de negocio, función del tipo de datos. Por ejemplo, para una información, sean departamentales o de los
dependiendo de lo que está disponible por parte de aplicación desintermediada de tipo CRM que trabaja usuarios finales, se logran apoyando la función
los proveedores (externos). La desintermediación se con datos de clientes (ventas) para ayudar a la empresarial.
puede aplicar a la información operativa y a la de función comercial, serían relevantes las siguientes • Las necesidades de departamentos o de los
gestión. dimensiones: usuarios finales tienen un nivel suficiente de
• Exactitud apoyo y mantenimiento en un nivel de coste
• Integridad óptimo.
• Vigencia • La desintermediación no incrementa el riesgo de
• Cantidad apropiada la información de la empresa.
• Representación consistente
• Comprensibilidad
• Disponibilidad
4.8.3 Metas afectadas

La desintermediación puede afectar a las siguientes metas a lo largo de la cascada de metas, en cualquiera de los dos
sentidos:
• La metas de calidad de la información listadas en la figura 55 apoyan la consecución de las metas asociadas a una
función de TI, es decir, metas de TI, que se enumeran en la figura 56.
• Las metas de TI dan soporte a las metas de la empresa, que también aparecen en la figura 56. El fin último de la
desintermediación es alcanzar mejor los objetivos generales de la compañía. Las metas de negocio que están
posiblemente afectadas por la desintermediación son las que se señalan en la figura 56.
Figura 56—Cascada ilustrativa de metas para la Desintermediación

Metas de TI (MTI) y metas Pueden derivarse muchas metas de TI. Algunas de las metas más importantes son:
de la función de negocio • MTI05 Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las TI
• MTI06 Transparencia de los costes, beneficios y riesgos de las TI
• MTI07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
• MTI08 Uso adecuado de aplicaciones, información y soluciones tecnológicas
• MTI09 Agilidad de las TI
• MTI10 Seguridad de la información, infraestructura de procesamiento y aplicaciones
• MTI11 Optimización de activos, recursos y capacidades de las TI
• MTI12 Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología en procesos de negocio
• MTI14 Disponibilidad de información útil y relevante para la toma de decisiones
• MTI17 Conocimiento, experiencia e iniciativas para la innovación de negocio
Metas de empresa (ME) Las siguientes pueden considerarse las metas de empresa más relevantes:
• ME03 Riesgos de negocio gestionados (salvaguarda de activo)
• ME08 Respuestas ágiles a un entorno de negocio cambiante
• ME09 Toma estratégica de Decisiones basadas en información
• ME10 Optimización de costes de entrega del servicio
• ME11 Optimización de la funcionalidad de los procesos de negocio
• ME12 Optimización de los costes de los procesos de negocio
4.8.4 Catalizadores para la solución del problema

COBIT 5 es un marco de trabajo completo para el gobierno y gestión de la TI corporativa que permite a las empresas
solucionar el problema de la desintermediación. La figura 57 proporciona un conjunto de catalizadores que pueden
ayudar a lograr los beneficios deseados a la vez que se optimiza el riesgo y el uso de recursos de las iniciativas de
desintermediación.
Figura 57—Conjunto ilustrativo de catalizadores para la desintermediación

Catalizador ¿Cómo puede este catalizador ayudar a resolver el problema?
Principios, Políticas y Marcos Proporciona reglas/guías de adopción, uso, distribución y supresión de información en el contexto de la desintermediación,
de trabajo incluyendo:
• Definición de lo que se espera de los usuarios departamentales en términos de uso y custodia apropiados de los activos y
privilegios asignados
• Comunicación de qué y cómo la organización va a gestionar y gobernar las preocupaciones de las soluciones de
desintermediación
• Tratamiento de la información en los dispositivos perimetrales
• Formación continua de los usuarios finales con responsabilidades
Los marcos de trabajo de referencia a consultar son:

• COBIT 5
• ITIL

CAPÍTULO 4
Figura 57—Conjunto ilustrativo de catalizadores para la desintermediación (cont.)

Procesos En el contexto de la desintermediación son relevantes una serie de procesos de gobierno y de gestión (de COBIT 5: Procesos
Catalizadores) y se pueden utilizar para definir un conjunto de prácticas de gobierno y de gestión para la desintermediación:
• EDM02 Asegurar la entrega de beneficios.
• APO08 Gestionar las relaciones.
• APO09 Gestionar los acuerdos de servicio.
• APO10 Gestionar los proveedores (cuándo las aplicaciones de usuario final y la infraestructura se encuentran subcontratadas.
• APO13 Administrar la seguridad.
• DSS02 Gestionar las peticiones y los incidentes del servicio.
• MEA01 Supervisar, evaluar y valorar el rendimiento y conformidad.
Las aplicaciones desintermediadas deben ser objeto de evaluación de la gestión y de auditorías internas.
Los procesos identificados aquí no son de exclusiva responsabilidad de la función de TI; más bien, si una función de negocios
decide desintermediar, por lo menos debería participar en los procesos mencionados anteriormente o poner en marcha sus propios
procesos, en base a los mencionados aquí.
Estructuras organizativas La responsabilidad clave en la desintermediación pertenece a:
• Los propietarios de los procesos de negocio
Funciones de soporte a los servicios de usuario final:

• Función de centro de soporte
• Formación

• Arquitectura
• Seguridad
• Gestión de la continuidad del negocio
• Gestión de proveedores
Cultura, ética y Los siguientes comportamientos son importantes para mantener el control sobre las soluciones de desintermediación:
comportamiento • La objetividad e imparcialidad en las decisiones de los casos de negocio para la desintermediación
• Visión equilibrada sobre el valor, considerando los beneficios y también los riesgos y el uso de recursos; tener en cuenta la
totalidad de la empresa, es decir, los beneficios y la carga para toda la empresa
• Sentido de responsabilidad para proteger los activos de información de la empresa
• Prácticas de compensación en línea con los comportamientos antes descritos
Información Los elementos de información son esenciales para la gestión de las iniciativas de desintermediación:
• ANS (acuerdos de nivel de servicio)
• Indicadores de rendimiento de proveedor (procesos y sistemas)
• Datos relacionados con la seguridad y los incidentes
• Requisitos legales y normativos
Servicios, infraestructuras y Un número de servicios (en general proporcionados por la función de TI) son relevantes en un contexto de desintermediación:
aplicaciones • Gestión de dispositivos móviles (MDM Mobile Device Management)
• Cifrado
• Flujo de trabajo del centro de soporte y gestión del conocimiento
• Servicios en la nube
Personas, habilidades y Algunos requisitos de habilidades y competencias para la desintermediación incluyen:
competencias • Habilidades adecuadas en las tecnologías utilizadas por los proveedores de servicios
• Gestión de relaciones y habilidades de negociación
• Habilidades básicas de gestión de la calidad y de desarrollo de software
• Gestión del conocimiento (documentación) para reducir la dependencia excesiva en individuos concretos
• Habilidades sociales y de comunicación

73
4.9 Problema de Gobernanza y Gestión de la información: Cumplimiento

normativo
Según la organización para la cooperación y desarrollo económicos (OCDE), los objetivos de cumplimiento normativo
son ' influir positivamente en el conducta de la comunidad regulada para que sus miembros cumplan con los requisitos
ambientales. Cumplimiento voluntario y a la revocación de un delito pueden ser considerados el principal objetivo de
inspección y aplicación. Castigo del infractor debe ser un objetivo secundario’.14
Cumplimiento normativo es el término general usado para describir las políticas y los procesos que tienen las
empresas para garantizar que se sigan las muchas leyes, normas y reglamentos establecidos por los órganos
reguladores que controlan la actividad en cada una de las jurisdicciones.
Los requerimientos reglamentarios existen a varios niveles, por ejemplo:

• Trasversal— todas las empresas que cotizan están sujetos a Sarbanes Oxley (para los Estados Unidos), todas las
empresas están sujetas a la normativa de protección de datos personales (por la Unión Europea).
• Específicas por industria— varios sectores de la industria tienen requisitos muy específicos, por ejemplo, cuidado
de la salud (en EEUU Health Insurance Portability y Accountability Act [Ley HIPAA]), productos farmacéuticos
(Good Manufacturing Practices), la industria financiera (anti-blanqueo de capitales [AML]).
• Asuntos regulatorios de nación extranjera—requisitos de países extranjeros que afectan a la empresa y las leyes
del país de origen que afecten al comercio con productos procedentes de países extranjeros, por ejemplo, las leyes de
competencia desleal (en los Estados Unidos).
Temas a tratar cuando tratamos con cumplimiento normativo incluyen:

• Identificar todos los requisitos de cumplimiento normativo aplicables y gestionar adecuadamente estos
requisitos—múltiples requerimientos pueden superponerse parcialmente y diversos requisitos pueden aplicarse a
diferentes partes de la empresa (basado en la ubicación, tipo de actividades, etc..). Contradictorias exigencias
necesitan ser gestionadas.
• Asignación de requisitos a los sistemas existentes e información—esta asignación puede implicar un nuevo
sistema, e información sobre los requisitos de calidad que deberían aplicarse, basado en un plan de negocios que
valore el valor añadido frente al riesgo de incumplimiento.
En el siguiente ejemplo (figura 58) ilustra los tipos de elementos de información que son importantes en relación con
el cumplimiento de las normativas.
Figura 58—Ejemplo de requerimientos regulatorios

Un equipo de gobernanza, riesgo y cumplimiento normativo (GRC) tienen el desafiado de velar por las normas de Sarbanes-Oxley (SOX). Especialmente en los
sistemas informáticos que procesan y producen información empleada en declaraciones sobre la posición financiera de la empresa. El enfoque está en demostrar
los más altos niveles de cumplimiento y mejores prácticas relacionadas con la seguridad, calidad de software, administración y gestión del cambio, en la dirección
de sistemas relacionados con SOX. En cualquier case, hay áreas como el personal de operaciones y desarrollo donde no se puede determinar con facilidad su
involucración con los sistemas e información de SOX.
El equipo GRC trabaja con sus socios en el departamento de desarrollo de sistemas corporativos y soporte (áreas funcionales) para entender la información que
necesitan y construir la capacidad necesaria. Una lista completa de los aplicativos debería existir y estar actualizada. Sobre esta lista, el equipo de desarrollo
propone agregar un simple 'atributo SOX'. Hecho esto y la presencia o ausencia de este indicador señala al personal y auditoria si el sistema debe cumplir con los
más altos estándares de seguridad, pruebas, mantenimiento y gestión del cambio.
Esta solución funciona bien por un tiempo, y, debido a su éxito, se buscan indicadores reglamentarios adicionales (HIPAA/HITECH y otros). En este momento,
desarrollo propone que, en lugar de agregar una bandera distinta para cada Reglamento (lo que requiere el esfuerzo de desarrollo), una estructura más
generalizada que se pueda mantener administrativamente por el equipo de GRC. Además también se pueden establecer, debates sobre el mantenimiento de los
datos y también establecer controles de calidad de datos.
Este caso ilustra un matiz de gestión de datos crítica de entender para el personal de TI y los equipos de gestión de negocio. Aunque los elementos de mayor
información puedan ser 'portfolio de aplicaciones' y 'normas', el valor se encuentra en su combinación: la normativa aplicable a cada aplicación. Cada elemento de
información puede vivir en conjuntos muy distintos de datos, tal vez en infraestructuras de TI también diferentes, pero las referencias cruzadas requerirían que los
dos sistemas residan en un sistema común. Personal capacitado debe definir un proceso para establecer las referencias cruzadas, y esto, a su vez, puede
conducir los requisitos de capacitación, ya que nadie puede entender todos los elementos de información y sus entornos. Tales requerimientos para incorporarse
o datos de referencia cruzada pueden conducirlo arquitectura y deben entenderse en un proyecto centrado en la información. Estos requisitos también
demuestran la importancia de los modeladores de datos y su participación desde el principio de un proyecto.
14
Organización para la cooperación y desarrollo económicos (OCDE), "Garantiza cumplimiento ambiental", Francia, 2004

CAPÍTULO 4
Cumplimiento normativo e informes deben ser vistos como una extensión natural de las funciones de gobierno de la
empresa y gestión ejecutiva. Por otra parte, sólo buena gobernanza puede asegurar que el cumplimiento esté alineado
con los objetivos del negocio empresarial y estrategias de gestión del riesgo — y que está añadiendo valor real (y no
sólo coste) a la empresa.

La Figura 59 muestra elementos de información típicos o elementos afectados por problemas de cumplimiento
normativo. También contiene los objetivos de calidad de información más relevantes sobre la información procesada y
entregada por las soluciones que deben cumplir con los reglamentos aplicables.
Figura 59—Ilustración de objetivos de calidad de información para el cumplimiento normativo

Artículo de información Dimensión de Calidad Meta de Calidad de Información
Cartera de servicios • Integridad Listado completo de todos los servicios TI que
• Moneda apoyan directamente las operaciones del negocio.
• Exactitud
Normativas relevantes • Relevancia Listado completo de todas las normativas que son
• Exactitud relevantes para una empresa determinada; incluye
• Disponibilidad de la asignación de las normativas para los sistemas
• Moneda que están particularmente preocupados con o
• Integridad afectados por la carga regulatoria.
Información regulada puede ser cualquier tipo de • Integridad Información regulada de cualquier tipo que necesita
información, dependiendo del sector, territorio, etc... • Exactitud para cumplir con los reglamentos aplicables; Esto se
Por ejemplo, datos de la transacción, datos del • Disponibilidad traduce en las dimensiones de calidad listadas en
cliente y datos del producto. • Seguridad y accesibilidad esta figura.
• Cantidad apropiada

Cumplimiento normativo puede afectar los siguientes objetivos a lo largo de la cascada de objetivos:
• Los objetivos de calidad de información que aparece en la figura 59 están relacionados con los objetivos generales
que se asocian con una función de TI, es decir, relacionados con los objetivos, que aparecen en la figura 60.
• Objetivos que apoyan los objetivos de la empresa, también aparecen en la figura 60. El propósito final del
cumplimiento normativo es lograr los objetivos generales de la empresa. Los objetivos de la empresa posiblemente
afectados por el cumplimiento normativo son los indicados en la figura 60.
Figura 60—Cascada ilustrativa de objetivos para el Cumplimiento Normativo

Objetivos relacionados con Muchos objetivos relacionados pueden ser derivados. Los siguientes son algunos de los objetivos más importantes:
TI y gestión del Negocio • ITG02 cumplimiento normativo de TI y apoyo para el cumplimiento normativo desde la operativa para las leyes y reglamentos
externos
• ITG4 Gestión de riesgos de negocio relacionados con TI.
• ITG10 seguridad de las infraestructura y aplicaciones de gestión de la información
• ITG15 cumplimiento de las políticas internas de TI
Objetivos de la empresa Los siguientes objetivos de la empresa pueden ser considerados más relevantes:
• EG04 cumplimiento con las regulaciones y leyes externas
• EG15 conformidad con políticas internas

COBIT 5 es un marco amplio para la gobernanza y la gestión de la empresa lo que permite a las empresas a abordar la
cuestión del cumplimiento normativo. Figura 61 ofrece un conjunto de elementos que pueden ayudar a lograr los
beneficios deseados mientras se optimizan riesgos y se aplican recursos para el cumplimiento normativo. Los
esfuerzos de cumplimiento deben ser adecuadamente gobernados para lograr asegurar su eficacia.
Figura 61—Ilustración del conjunto de catalizadores para el Cumplimiento Normativo

Catalizador ¿Cómo puede ayudar a abordar la cuestión este catalizador?
Principios, Políticas y • Políticas, documentos de política que en términos generales definen los valores de la empresa con respecto al cumplimiento
Marcos de trabajo normativo
• Documentos de planificación y diseño, ayudan a organizar las tareas de cumplimiento normativo
• Documentación del control interno
• Procedimientos — el uso de procedimientos operativos estándar (SOPs) aumentan la reproducibilidad de la ejecución y
permite en una mayor brevedad informes y documentación sobre el control interno.
• Aprobaciones — cada uno de los documentos de control interno que se describe en el cumplimiento está sujeto a control
formal y aprobación.

75
Figura 61—Ilustración del conjunto de catlizadores para el Cumplimiento Normativo (cont.)

Cataliza ¿Cómo este catalizador ayuda a abordar la cuestión?
Procesos Una serie de procesos de gobernanza y gestión (de COBIT 5: activar procesos) son relevantes en el contexto del cumplimiento
normativo:
• EDM03 Asegurar Optimización de riesgos.
• EDM05 Asegurar transparencia de los responsables
• APO03 Administrar la estructura empresarial.
• APO12 Administrar riesgo.
• APO13 Gestionar seguridad.
• BAI01 Administrar los programas y proyectos.
• BAI06 Gestión del cambio.
• BAI08 Gestión del conocimiento.
• BAI10 Administrar la configuración.
• DSS04 Gestión de continuidad.
• DSS05 Administrar los servicios de seguridad.
• DSS06 Gestionar los controles de proceso de negocio.
• MEA02 Monitorear, evaluar y analizar el sistema de control interno.
• MEA03 Monitorear, evaluar y analizar el cumplimiento de requerimientos externos.
Estructuras organizativas Las siguientes estructuras organizativas son clave para el cumplimiento normativo:
• Grupo de cumplimiento
• Propietarios de procesos de negocio
• Ejecutivos de negocios
• Auditoría
• Junta organizativa
Cultura, Ética y Conducta Los siguientes conductas son importantes para mantener el cumplimiento de normas:
• Conducta ético
• Cultura de aprendizaje continuo
• Conciencia del riesgo
• Sentido de propiedad
Información Los siguientes elementos de información son esenciales para la gestión del cumplimiento normativo:
• Reglas de validación y aprobación de informes preceptivos
• Evaluación de informes de efectividad
• Comunicación de requerimientos normativos cambiantes
• Informes de aseguramiento de la conformidad
• Resultados de auditoría de cumplimiento normativo
• Confirmaciones de cumplimiento normativo
• Registro de requisitos de cumplimiento normativo
• Brechas de cumplimiento identificados
• Informes de las pólizas de seguro
• Requisitos legales y reglamentarios
• Desviaciones de licencia
• Registro de acciones de cumplimiento normativo
• Informes de problemas de incumplimiento normativo y raíz sus causas
• Resultados de auditorías de licencias instaladas
• Políticas, principios, procedimientos y estándares actualizados
Servicios, Infraestructura y Una serie de servicios (generalmente proporcionado por TI) es pertinente para el cumplimiento normativo:
Aplicaciones • Base de datos
• Diccionario de datos/repositorio de Metadata
• Sistemas de gestión de seguridad
• Sistema de estructura de datos.
• Pruebas y validación
También son relevantes las siguientes aplicaciones:
• Sistema de GRC
• Herramientas de reporting
• Registros
• Sistema de gestión de identidades
• Gestión de procesos empresariales
• Registros de auditorías
Personas, Habilidades y Las habilidades de cumplimiento normativo pueden cubrir un amplio grupo habilidades, incluyendo:
Competencias • Evaluación de riesgos
• Control interno
• Contenido de las normas
• Arquitectura de la información
• Seguridad
• Análisis de procesos de negocio

CAPÍTULO 4
4.10 Problema de la Gestión /Gobierno de la Información: Privacidad

El glosario de ISACA define la privacidad como la libertad de una persona frente a la intrusión o la divulgación de
información no autorizada. Esta información puede incluir:
• Datos personales del individuo
• Las indicaciones de comportamiento/tendencias de la persona, incluyendo temas sociales/ datos especialmente
sensibles, tales como la preferencia sexual, las actividades políticas y las prácticas religiosas
• Las comunicaciones realizada por el individuo, que implica todas las formas de comunicación, incluyendo voz, datos,
conversaciones y escritura
Aun cuando ésta libertad frente a la intrusión o la divulgación no autorizada de la información personal está
mundialmente reconocida, existen diferencias entre las legislaciones de cada país por la interpretación de “privacidad”
(a veces expresado como "protección de datos") que cada una realiza al incluir también los derechos de los individuos
respecto a sus datos o información (derecho a ser informado , derecho de modificar la información personal, derecho a
destruir la información personal, etc). Esta diferencia en la traducción legislación crea un desafío adicional para las
empresas multinacionales en la aplicación de los catalizadores necesarios para llevar a cabo el cumplimiento normativo
de la privacidad.
En este sentido, la privacidad es un asunto global que requiere adoptar un enfoque holístico por parte de la empresa, de
la siguiente forma:
• Cumplimiento de la normativa en los requisitos de privacidad - los requisitos legales son importantes; sin
embargo, el iniciador real de la necesidad de privacidad es el individuo implicado. Esto significa que las empresas
deben evaluar si los requisitos normativos con los que cumplirían la legislación son también suficientes para satisfacer
las necesidades de privacidad de los otros requisitos, actores, etc.
• Seguridad de la información – La implantación de la privacidad a menudo está directamente vinculada con la
aplicación de medidas técnicas de seguridad de la información. La protección de la información dentro de la empresa
en términos de confidencialidad es imprescindible para evitar la intrusión o la divulgación no autorizadas. Sin
embargo, otros aspectos son al menos tan importantes para proteger la privacidad de la información, como por ejemplo
la cultura de la organización para sensibilizar del cuidado en el manejo de la información sensible, que no siempre
puede ser protegida únicamente con medidas técnicas.
• El departamento de TI: para proteger eficazmente la vida privada de los individuos, se requiere la cooperación a lo
largo de toda la empresa, incluyendo los recursos legales, los recursos humanos (RRHH) y los departamentos de
marketing y finanzas.
Es evidente que se debe encontrar un equilibrio entre el uso de la información y la privacidad de ésta, ya que la
rentabilidad y la competitividad de una empresa dependen con frecuencia del análisis de la información existente. Desde
un punto de vista empresarial, el incumplimiento de la normativa puede dar lugar sanciones o condenas judiciales y, por
otra parte, el daño a la reputación debido a incidentes de privacidad puede derivar en la pérdida de clientes y afectar
fuertemente a la posición competitiva de la empresa.

La Figura 62 lista los elementos o tipos de información típicos afectados por problemas de cumplimiento de la
privacidad. También contiene los objetivos más relevantes de los objetivos de la calidad de información procesada y
entregada por las soluciones que necesitan cumplir con las normativas de privacidad.
Figura 62—Objetivos de Calidad de la Información ilustrativos para cumplimiento de la Privacidad

Elemento de información Dimensión de Calidad más relevante Objetivo de Calidad de la Información
Todos los datos relacionados con los individuos, • Exactitud La información personal de cualquier tipo tiene que
incluidos los clientes y el personal • Integridad cumplir con la normativa.
• Vigencia
• Seguridad / Accesibilidad

Las cuestiones de privacidad pueden afectar a los siguientes objetivos en cascada:
• El objetivo de la calidad de información que aparece en la figura 62 es compatible con las metas asociadas con una
función de TI, es decir con los objetivos TI, que se enumeran en la figura 63.
• Los objetivos TI apoyan los objetivos de la empresa, que también se enumeran en la Figura 63. El objetivo final de
cumplimiento de la privacidad es mejorar los objetivos generales de la empresa. Los objetivos de la empresa que
pueden estar afectados por el cumplimiento de la privacidad son las que aparecen en la figura 63.

77
Figura 63—Cascada ilustrativa de objetivos para el cumplimiento de la privacidad

Objetivos relativos a TI y Se pueden derivar muchos de los objetivos relativos a IT. A continuación se citar varios de los más importantes objetivos:
Objetivos de función de • ITG02 Cumplimiento de TI y soporte para el cumplimiento de los negocios con la legislación y regulaciones externas
negocio • ITG04 Gestión de Riesgo de negocio relacionado con TI.
• ITG08 Adecuado uso de las aplicaciones, soluciones de la tecnología e información
• ITG10 Seguridad de la información, procesamiento de la información y de las aplicaciones
• ITG15 Cumplimiento TI con las políticas internas
• ITG16 Personal TI y de negocio competente y motivado
Objetivos de empresa Los siguientes objetivos de empresa pueden ser considerados los más relevantes:
• EG03 Gestión de Riesgo de negocio (salvaguarda de los activos)
• EG04 Cumplimiento con leyes y regulaciones externas
• EG15 Cumplimiento con políticas internas

COBIT 5 es un marco global para el gobierno y la gestión TI de la empresa que permite a las empresas para hacer
frente a los problemas de negocios que plantean la legislación y los reglamentos centrados en la privacidad. La Figura
64 proporciona un conjunto de facilitadores que pueden ayudar a conseguir los beneficios deseados al mismo tiempo
que optimiza el riesgo y el uso de recursos en las iniciativas relacionadas con la privacidad.
Figura 64—Conjunto ilustrativo de facilitadores para el cumplimiento de la privacidad

Facilitador ¿Cómo puede este facilitador ayudar a abordar el problema?
Principios, Políticas y Diversos países tienen leyes y reglamentos muy específicos relacionados con qué datos pueden y no pueden ser almacenados y
Marcos de trabajo transmitidos a través de otras jurisdicciones. Se puede tratar de prohibiciones absolutas o bien prohibiciones contextuales. Así el
almacenamiento de la raza de un individuo puede estar absolutamente prohibido en todos los casos o bien una empresa de un
sector determinado puede tener prohibido almacenar datos de sus clientes que no tengan relación aparente con su negocio. Por
ejemplo, un vendedor de ropa puede almacenar la altura de un individuo, pero para una empresa de informática podría estar
prohibido hacerlo. Por este motivo, las empresas deben adoptar un principio de privacidad ByDesign en cada parte del ciclo de
vida de la información. Además de los requisitos normativos, los derechos de los clientes, tales como 'opt-in' y 'opt-out', son
aspectos de privacidad críticos y deben ser respetados. En términos de políticas, una serie de ellas puede ser relevante:
• Las políticas a nivel directivo relevantes pueden incluir la gestión de registros y las políticas de gestión de seguridad de la
información.
• También pueden existir o deben tenerse en cuenta políticas específicas de gestión o gobierno de datos.
• Una política de privacidad dedicada puede desarrollarse resumiendo los derechos de los individuos involucrados y cómo la
privacidad sería / necesitaría ser protegida.
Procesos Una serie de procesos de gobierno y de gestión (de COBIT 5: Habilitando Procesos) son relevantes en el contexto de la privacidad
y se pueden utilizar para definir un conjunto de prácticas de gobierno y de gestión capaces de hacer frente a los problemas de
privacidad:
• EDM03 Garantizar la Optimización del Riesgo.
• EDM05 Garantizar la transparencia hacia los Interesados/propietarios
• APO1 Administrar el marco de gestión de TI (específicamente APO1.06 de directrices de clasificación de datos).
• APO03 Gestionar arquitectura empresarial.
• APO12 gestionar el riesgo.
• APO13 Gestionar seguridad.
• BAI02 Gestionar la definición de requisitos.
• MEA03 Supervisar, evaluar y valorar el cumplimiento de los requisitos externos.
Estructuras organizativas La responsabilidad clave para superar este problema pertenece a:
• Oficial de privacidad: individuo responsable de supervisar el riesgo y el impacto de las leyes de privacidad en el negocio,
orientar y coordinar la ejecución de las políticas y actividades que aseguren el cumplimiento de las directivas de privacidad
• Gerente de la seguridad de la información

• La administración de registros
• La gestión de documentos
• Arquitectura Empresarial
• Arquitectura de la información / de los Datos
• Propietarios de los Procesos de Negocio
• Los ejecutivos de negocios
• Auditoría
Cultura, ética y Los siguientes comportamientos son importantes para mantener el control sobre la privacidad:
comportamiento • El comportamiento ético
• Cultura de Aprendizaje
• Conciencia del riesgo
• Sentido de pertenencia

CAPÍTULO 4
Figura 64—Conjunto ilustrativo de facilitadores para el cumplimiento de la privacidad(cont.)

Facilitador ¿Cómo puede este facilitador ayudar a abordar el problema?
Información Una serie de elementos de información son esenciales para la gestión de los problemas de privacidad:
• Directrices de seguridad y control de datos
• Directrices de clasificación de datos
• Derechos de acceso de usuario aprobados
• Clasificación de las fuentes de información
Servicios, Infraestructura y Una serie de servicios (por lo general proporcionados por la función TI) son relevantes en un contexto privacidad:
Aplicaciones • Repositorio de metadatos / diccionario de datos
• Sistemas de gestión de seguridad
• Arquitectura de datos de la Empresa / del sistema
• Herramientas de perfilado de datos
• Sistemas de gestión de bases de datos
• Sistemas de gestión de documentos
Personas, Habilidades y Algunos requisitos de habilidades y competencias para la privacidad son:
Competencias • Analistas de procesos de negocios
• Los analistas de datos
• Los analistas de seguridad
• Los administradores de registros

79

APÉNDICE A
OTRA INFORMACIÓN DE REFERENCIA
APÉNDICE A
En este apéndice se proporciona información de referencia sobre el siguiente marco relacionado y estándar y un mapeo
entre las orientaciones y COBIT 5:
• Marco funcional DAMA-DMBOK
• ISO 15489-1:2001
El mapeo consiste en una lista de las cláusulas de la guía de referencia (en un nivel razonable de granularidad) y las
correspondientes secciones pertinentes en COBIT 5: Enabling Información, COBIT 5: Enabling Procesos o el marco de
referencia de COBIT 5.
Estructura DAMA-DMBOK
La estructura de DAMA-DMBOK está basada en los siguientes conceptos:
• Ciclo de vida de datos (Data life cycle)
• Funciones de gestión de datos (Data management functions)
• Elementos ambientales de la gestión de datos (Data management environmental elements)
En general, DAMA-DMBOK contiene una gran cantidad de orientaciones prácticas detalladas que no se encuentran en
COBIT 5.
COBIT 5 y DAMA-DMBOK son bastante complementarias entre sí, por ejemplo:
• Los usuarios de COBIT 5 pueden beneficiarse de esta orientación más detallada mediante la lectura de los temas de
DMBOK relacionados con el área de COBIT 5, en los que se esté interesado.
• Los usuarios de DAMA-DMBOK pueden encontrar un marco de gobierno y de gestión, en general, estructurado de
forma más rigurosa y por lo tanto una mejor posición de sus propias prácticas. Además, pueden encontrar que el
concepto catalizador puede añadir un poco más de valor a sus prácticas establecidas.
El resto de este apéndice describe brevemente cada uno de los conceptos marco de DAMA-DMBOK y cómo cada uno
de ellos se compara con COBIT 5 y / o su figura equivalente a COBIT 5.
Ciclo de vida de datos (Data Life Cycle)

Tanto DMBOK como COBIT 5 (a través del modelo de información de COBIT 5) contienen un ciclo de vida de la
información como una de las dimensiones catalizadoras. Ambos se representan en la figura 65.

81
Los ciclos de vida no son idénticos, aunque se parecen entre sí de manera razonable y la mayoría de las etapas en cada
ciclo de la vida se pueden mapear la una con la otra Por tanto, es justo concluir que ambos marcos se refieren al ciclo
de vida completo de la información, proporcionando una guía exhaustiva y de extremo a extremo.
Funciones de gestión de datos

DMBOK identifica 10 funciones de gestión de datos, incluyendo el gobierno de datos mostradas en la Figura 66 Las
10 funciones están basadas en procesos (actividades definidas, etc.), por lo que principalmente se comparan con el
modelo de referencia de procesos de COBIT 5 (COBIT 5: Habilitación de Procesos).
En general, los procesos de COBIT 5 que abarcan las funciones definidas en DMBOK permanecen en un nivel más
alto de abstracción comparado con las descripciones de las funciones de gestión de datos en DMBOK, que son
(sustancialmente) más detalladas. La figura 67 muestra cómo las funciones de gestión de datos DMBOK están
cubiertas por los procesos de COBIT 5. El lector deberá tener en cuenta que los procesos de COBIT 5 son a menudo
más abstractos y genéricos y, por lo tanto, menos específicos a la gestión de la información.

APÉNDICE A

83
Figura 67—Funciones de gestión de datos DMBOK comparado con COBIT 5

DAMA-DMBOK
Componente COBIT 5 Construcciones/Componentes equivalentes
Gobierno de datos El dominio del gobierno es un dominio separado (Evaluar, Dirigir y Monitorear [EDM]), que contiene los procesos de gobierno
separados. Estos procesos son de carácter genérico, es decir, no son específicamente de gobierno de la información. Sin
embargo, como en COBIT 5 se trata acerca de la información y la tecnología relacionada, estos procesos abarcan
intrínsecamente todos los aspectos de gobernabilidad. COBIT 5 también identifica el número de estructuras organizativas y
elementos de información relacionados con el gobierno.
Administración de la Cubierto por el siguiente proceso:
arquitectura de datos • APO03 Administrar la arquitectura empresarial
Desarrollo de datos Cubierto por los siguientes procesos:
• BAI02 Administrar la definición de requisitos
• BAI03 Administrar la identificación y construcción de soluciones
• BAI10 Administrar la configuración
Operación de la Cubierto por los siguientes procesos:
gestión de base de • DSS01 Gestión de las operaciones.
datos • DSS02 Gestión de las solicitudes de servicio e incidencias.
Gestión de la seguridad de Cubierto por los siguientes procesos:
datos • APO13 Administrar la seguridad.
• MEA01 Monitorear, evaluar y valorar el rendimiento y la conformidad.
• MEA02 Monitorear, evaluar y valorar el sistema de control interno.
• MEA03 Monitorear, evaluar y valorar el cumplimiento de los requisitos externos.
Referencia a Gestión de datos Cubierto por los siguientes procesos:
maestros • APO03 Administración de la arquitectura empresarial
• DSS06 Administración de los controles de procesos de negocio.
Almacenamiento de datos y Más bien implícitamente, BI está considerado como un tipo de aplicación que necesita ser planificado, desarrollado, construido y
gestión de la Inteligencia de operado como muchos otros, utilizando un conjunto bastante amplio de procesos de COBIT. Los procesos más relevantes en este
negocio contexto son:
• APO03 Administrar la arquitectura empresarial.
• BAI02 Administrar la definición de requerimientos.
BAI03 Administrar la identificación y construcción de soluciones.
BAI10 Administrar la configuración.
Documentación y Gestión de Cubierto por los siguientes procesos:
Contenidos • BAI08 Gestionar el conocimiento
Gestión de Metadatos Cubierto por el siguiente proceso (implícitamente):
• APO03 Administrar la arquitectura empresarial.
Gestión de la Calidad de Datos Cubierto por los siguientes procesos:
• APO11 Gestionar la Calidad

APÉNDICE A

85
Gestión de datos—Elementos Ambientales

El DMBOK define una serie de elementos ambientales que se aplican a cada uno de los 10 dominios funcionales. Estos
elementos ambientales se muestran en la Figura 68, con su alcance.
COBIT 5 no tiene esta construcción específica, siendo a través de la dimensión del 'catalizador' donde muchos de
estos elementos están cubiertos. La Figura 69 proporciona una comparación de alto nivel.
Figura 69— DMBOK Elementos ambientales comparados con los catalizadores de COBIT 5
DAMA-DMBOK
Componente COBIT 5 Construcciones/Componentes equivalentes
Objetivos y Principios COBIT 5 manifiesta que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
que funcionen correctamente. Cada catalizador tiene las mismas cuatro dimensiones, donde ‘objetivos’ es una de ellas.
Organización y COBIT 5 establece que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
Cultura eficaces y eficientes. Ambas, cultura y estructura organizativas, y ética y conducta son catalizadores explícitamente identificados en COBIT
5 y, por lo tanto, siempre se consideran.
Actividades Los procesos son uno de los catalizadores definidos en COBIT 5. Dentro de los procesos, una guía más detallada se proporciona a través
de «procedimientos» y, a un nivel más detallado, las "actividades".
Entregables Los procesos son uno de los catalizadores definidos en COBIT 5. Dentro de cada proceso, las entradas y salidas genéricas se definen
para cada proceso.
Roles y Los procesos son uno de los catalizadores definidos en COBIT 5. Dentro de los procesos, Se proporciona una guía más detallada a través
Responsabilidades de “procedimientos”. Para cada proceso se incluye la matriz RECI, que describe las responsabilidades típicas en cada procedimiento. Las
responsabilidades se asignan a una o varias funciones genéricas que normalmente existen en una organización.
Nota: COBIT 5 define roles con un alto nivel de abstracción. Los roles más específicos, por ejemplo, en el área de gestión de la
información, no se incluyen pero son implícitos. DMBOK proporciona una guía más detallada.
Prácticas y Técnicas COBIT 5 establece que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
eficaces y eficientes. Este componente de DMBOK está cubierto por el proceso catalizador de COBIT 5, donde se incluyen tres niveles de
detalle: Proceso, Prácticas, Actividades.
Nota: Téngase en cuenta, sin embargo, que las descripciones de los procesos de COBIT 5 son procesos de ejemplo, y sin ninguna
intención de ser presentados como la única mejor práctica.
Tecnología COBIT 5 establece que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
eficaces y eficientes. El catalizador servicio, infraestructura y aplicaciones interactúa con la tecnología soporte en cualquier tema que les
ocupa - como gestión de la información en este caso.
En conclusión, COBIT 5, con su modelo de catalizador integrado y las siete categorías de catalizadores, se ocupa de
todos los elementos ambientales que se describen en DMBOK, y ambos marcos son equivalentes desde este punto de
vista, es decir, ambos prestan atención no solo a los procesos.
El relativamente alto nivel de abstracción de COBIT 5 y el hecho de que esté en un marco general de gobierno y gestión
de TI de la empresa (en lugar sólo para hacer frente a cuestiones de datos y gestión de la información) hace que ambos
marcos de referencia sean complementarios: COBIT 5 proporciona el marco global, y DMBOK proporciona los detalles
específicos cuando se requiera. Nota: DAMA publicó por primera vez una actualización del marco DMBOK,
DMBOK2, como borrador en abril de 2012. Tras el período de revisión posterior, DMBOK2 está previsto que esté
disponible en el cuarto trimestre de 2013.
ISO 15489-1:2001
ISO 15489-1:2001 Introducción
Norma internacional ISO 15489, Información y Documentación-Records Management (Ginebra, 2001) fue diseñado
para cumplir con los requisitos de gestión de registros en empresas y gobiernos por igual, asegurando que 'se le da la
atención y protección adecuada a todos los registros, y que las pruebas y la Información que contienen puede ser
recuperada de manera más eficiente, utilizando prácticas y procedimientos estándar’.
Comparación a alto nivel entre ISO 15489-1:2001 y COBIT 5

El capítulo 4 de la presente guía trata sobre una serie de cuestiones de gestión de la información y cómo los
catalizadores de COBIT 5 pueden ayudar a abordarlas. La norma ISO 15489-1 se puede describir con una orientación
muy similar: describe cómo hacer frente a un tema de gestión de una información específica, la gestión de documentos.
Los documentos son un subconjunto de todos los elementos de información que una empresa generará durante su
funcionamiento, sirviendo a un propósito muy específico. Como tal, COBIT 5: Posibilitar la información y el modelo
integrado de información se aplica también a ‘documentos’.
APÉNDICE A
Al comparar el marco de referencia COBIT 5 y la norma ISO 15489-1 (figura 70), se deberá tener presente:
• Los procesos COBIT 5 se ocupan principalmente de la información y de TI.
• Los sistemas de gestión documental, como se describe en la norma ISO 15489-1 también contienen procesos
manuales / físicos que no están necesariamente excluidos por COBIT 5, pero se describen menos explícitamente.
Figura 70—Comparación de las cláusulas de la norma ISO 15489-1:2001 y COBIT 5

ISO 15489-1:2001 Sección COBIT 5 Construcciones/Componentes equivalentes
6 Política y responsabilidades Principios, políticas y marcos de referencia es una de las categorías catalizadoras de COBIT 5 y, por lo tanto, cubiertos por
COBIT 5.
6.1 General N/A
6.2 Política En la práctica, las políticas son establecidas por dos procesos clave en COBIT 5:
• EDM01 Garantizar el establecimiento y mantenimiento del marco de gobierno.
• APO01 Administrar el marco de gestión de TI.
Los principios para la gestión de registros y las políticas conexas relacionadas tienen que estar establecidos y mantenidos por
estos procesos.
6.3 Responsabilidades Las descripciones de procesos de COBIT 5 contienen matrices RECI, donde se asignan responsabilidades para los procesos.
Las matrices RECI de COBIT 5 contienen un conjunto exhaustivo de roles y funciones, la mayoría fuera del departamento de
TI. Esto se alinea con las responsabilidades de gestión de documentos sugeridos en la norma ISO 15489, que asignan la
mayoría de los roles a otros departamentos que no son el departamento de TI.
La norma ISO 15489 contiene una asignación sugerida respecto a las responsabilidades de la gestión de documentación, que
se puede traducir fácilmente en una matriz RECI.
7 Requisitos de la gestión de
registros
7.1 Principios de los Principios, Políticas y Marcos de referencia es una de las categorías catalizadoras de COBIT 5, y el aspecto "principios" por lo
programas de gestión tanto está cubierto por COBIT 5. De la misma forma que en la cláusula 6.2, los mismos procesos de COBIT 5 implementan
de registros esto en la práctica.
7.2 Características del El marco COBIT 5 se basa en catalizadores; el modelo describe un marco genérico para todos los catalizadores. En el capítulo
registro 3 de esta guía, este modelo se aplica al catalizador 'Información', más adelante elaborado e ilustrado.
Una de las dimensiones del modelo de catalizador Información es la dimensión de calidad / objetivos, donde se puede definir
un rango de hasta 15 requisitos de calidad de la información.
La “característica del documento” del punto 7.2 corresponde con los criterios de calidad de la información, por ejemplo:
• ‘Autenticidad’ corresponde a la reputación, el acceso restringido y la precisión.
• ‘Fiabilidad’ corresponde a la precisión.
• ‘Integridad’ corresponde a los criterios de exhaustividad y de precisión de COBIT 5.
• ‘Disponibilidad’ es una combinación de la disponibilidad, la facilidad de manipulación, la comprensibilidad y la la capacidad de
ser interpretado.
8 Diseño e implementación de Servicios, Infraestructura y Aplicaciones es una de las categorías catalizadoras de COBIT 5, y por lo tanto cubierta por COBIT
un sistema de 5. Un sistema de gestión documental se puede considerar como una combinación de aplicación(es), infraestructura y servicios,
documentación y por lo tanto queda cubierto por esta categoría catalizadora.
Este capítulo describe los requerimientos de dicho sistema de gestión documental.
COBIT 5 no entra en el detalle del diseño de cualquier sistema, pero incluye un amplio conjunto de procesos de ejemplo para
dar soporte al ciclo de vida de los sistemas de información, es decir:
• BAI01 Gestionar programas y proyectos.
• BAI02 Gestionar la definición de requerimientos.
• BAI04 Gestionar la disponibilidad y capacidad.
• BAI05 Gestionar que sea posible realizar un cambio organizativo.

87
Figura 70—Comparing ISO 15489-1:2001 Clauses and COBIT 5 (cont.)

ISO 15489-1:2001 Sección COBIT 5 Equivalente Constructos/Componentes
9 Procesos y controles de Este capítulo se refiere a los requerimientos del negocio, los procesos y las actividades de control asociadas a la gestión
gestión de registros documental.
COBIT 5 no describe ni detalla los procesos de negocio, pero hay un proceso importante que vincula los controles de procesos
de negocio al entorno de TI, DSS06 Administrar controles de procesos de negocio.
Este proceso supone que los requerimientos para la gestión de documentos han sido correctamente identificados y traducidos
10 Supervisión y auditoría El dominio Monitorear, Evaluar y Valorar (MEA) describe tres procesos diseñados para monitorear y auditar los sistemas de
gestión documental.
11 Formación El proceso de COBIT 5 BAI05 Gestionar que sea posible el cambio organizativo, trata sobre la formación Además, Personas,
Habilidades y Competencias es una de las categorías catalizadoras de COBIT 5.

APÉNDICE B
EJEMPLO DE ELEMENTOS DE INFORMACIÓN QUE DAN SOPORTE A LOS
OBJETIVOS DE LAS ÁREAS FUNCIONALES
APÉNDICE B
EJEMPLO DE ELEMENTOS DE INFORMACIÓN QUE DAN SOPORTE A LOS OBJETIVOS
DE LAS ÁREAS FUNCIONALES
La tabla 71 muestra ejemplos de los elementos de información de negocio que dan soporte a la consecución de
objetivos en las funciones de la cadena de valor de la empresa (que se muestran en la figura 6) y que se comunican a
través de los flujos de información entre los niveles de la empresa. La tabla identifica si los elementos de información
se refieren al cuerpo de gobierno, de gestión, o de los niveles de operación y ejecutivos de la compañía.
Figura 71—Ejemplos de elementos de Información en flujos de Información que soportan los objetivos de la cadena de valor de la empresa
Elementos clave de información (de negocio) necesarios para apoyar la consecución de los objetivos del área funcional
Área Funcional Cuerpo de Gobierno Gestión Operaciones y Ejecución
Infraestructura de • Informes de garantía de cumplimiento • Perfil de riesgo • Registro de requerimientos de
empresa (objetivos) • Apetito de riesgo • Políticas de gestión de riesgos • Informes cumplimiento
• Informes de los auditores financieros de análisis de impacto en el negocio (de • Registro de las acciones de cumplimiento
externos ahora en adelante BIA, del inglés necesarias
• Informes de los auditores internos Business Impact Analysis) • Información de bienes raíces
• Informes de cumplimiento • Estados financieros • Información (TI) de la red / infraestructura
• Informes financieros anuales • Informes internos de la gestión financiera: de comunicación
• Políticas, Procesos y Procedimientos presupuestos, estimaciones revisadas, • Capacidad de infraestructura y el uso de
• Arquitectura y estrategia de la información evaluaciones comparativas información
• Estrategias empresariales (benchmarking), indicadores periódicos • Información sobre la ubicación y la
• Datos de la gestión de la cartera de de cash-flow negativo (burn rates) accesibilidad de la infraestructura
proyectos, programas y proyectos • Arquitectura Empresarial
incluyendo los beneficios y los • Datos de los sistemas de costes basados
componentes de realización de beneficios en las actividades de la compañía.
• Hoja de ruta estratégica • Información de bienes raíces
• Expectativas de retorno de la inversión • Información (TI) de la red / infraestructura
• Informes de desempeño de la cartera de de comunicación
inversión • Capacidad de infraestructura y el uso de
información
• • Información sobre la ubicación y la
accesibilidad de la infraestructura
Recursos Humanos • Presentación de informes sobre la • Acciones correctivas para hacer frente a • Plan de recursos aprobados
(objetivos) asignación y la eficacia de los recursos y las desviaciones de la gestión de • Matriz de habilidades y competencias
capacidades recursos • informe sobre el estado de incidentes y
• Comunicaciones del presupuesto • Plan de operación y utilización tendencias
• Informe de estado y tendencias en el • Causas raíz de errores en la entrega de • Información sobre salarios
cumplimiento de solicitudes calidad • Informes de rendimiento
• Principios rectores para la asignación de • Asignaciones presupuestarias • resultados de una evaluación 360 grados
recursos y capacidades • Presupuesto y planificación de Recursos
• Medidas de éxito y resultados • Presupuesto y planificación de TI
• Información sobre sueldos (estado de • Comunicación de las estrategias de
asignación del coste de personal de cada dotación de recursos
departamento o unidad de negocio) • Matriz de habilidades y competencias
• Ratios de rotación de personal.
• Información sobre salarios (tablas
salariales, análisis del coste de personal)
• Resultados de una evaluación 360ª
Aprovisionamiento • • Casos de negocio • Requerimientos legales y reglamentarios • Información de Proveedor
(objetivos) • • Requerimientos legales y • Requerimientos contractuales • • Solicitudes de información
reglamentarios • Información de Proveedor • • Solicitudes de propuestas
• • Información requerida en la producción • Solicitudes de información • • Propuestas
de bienes y servicios • Solicitudes de propuestas • • Garantías
• • Información sobre mantenimiento • Licitaciones • • Términos del contrato
necesarios, reparaciones y suministros de • Garantías
operaciones • Términos del contrato
• • Estrategia de aprovisionamiento • Estrategia de aprovisionamiento

Figura 71—Ejemplos de elementos de Información en flujos de Información que soportan los objetivos de la cadena de valor de la
empresa (cont.)
Área funcional Cuerpo de Gobierno Cuerpo de Gobierno Cuerpo de Gobierno
Logística interna • Casos de negocio • Requisitos legales y reglamentarios • Información sobre mantenimiento
(objetivos) • Información requerida sobre los bienes y • Requisitos contractuales necesarios, reparaciones y suministros de
servicios de producción • Información sobre mantenimiento operaciones
• Demanda del cliente necesarios, reparaciones y suministros de • Información sobre los bienes de capital y
• Previsión de la demanda de los clientes operaciones servicios requeridos
• Información sobre mantenimiento • Información sobre los bienes de capital y • Información de Almacén
necesarios, reparaciones y suministros de servicios requeridos • Centro de distribución de información
operaciones • Información de Almacén • Información de Inventario
• Información sobre los bienes de capital y • Centro de distribución de información • Información de Proveedor
servicios requeridos • Información de Inventario • Información de Transporte
• Información de Proveedor • Demanda del cliente
• Información de Transporte • Previsión de la demanda de los clientes
• Demanda del cliente
• Previsión de la demanda de los clientes
Operaciones • Casos de negocio • Requisitos legales y reglamentarios • Informes de inactividad
(objetivos) • Requisitos de calidad • Requisitos contractuales • Datos de la mejora continua,
• Demanda del cliente • Acuerdos de Nivel de Servicio (de ahora resultados/registros del proceso Planifica
• Ideas de innovación en adelante ANSs o SLAs del inglés / Haz / Verifica / Actúa
Service Level Agreement) • Datos de la transacción
• Información de Inventario • Información de Inventario
• Información del sistema de gestión de • Información del sistema de gestión de
calidad calidad
• Modelos de procesos de negocios / • Modelos de procesos de negocios /
producción producción
• Demanda del cliente
Logística externa • Casos de negocio • Requisitos legales y reglamentarios • Datos del cliente
(objetivos) • Demanda del cliente • Requisitos contractuales • Información de Almacén
• Previsión de la demanda de los clientes • Información de Almacén • Información del centro de distribución
• Información del centro de distribución • Información de Inventario
• Información de Inventario • Información de Transporte
• Información de Transporte • Demanda del cliente
• Demanda del cliente • Previsión de la demanda de los clientes
• Previsión de la demanda de los clientes
Marketing y ventas • • Datos de satisfacción de las partes • Información de competidores • • Información del cliente
(objetivos) interesadas • Análisis de clientes • • Información de productos y servicios
• • Inteligencia de negocio (evaluaciones • Revisar los resultados de la calidad del • • Tasas de abandono de clientes
comparativas - benchmarking- , servicio, incluyendo comentarios de los • • Tasas de conversión
respuestas de la competencia, nuevas clientes • • Información de Ventas
leyes y reglamentos) • Información sobre el producto • • Coste de Marketing
• • Información sobre producto • Información sobre el precio • • Información del canal de
• • Información sobre el precio • Información sobre el punto de venta comercialización
• • Información sobre el punto de venta • Información sobre la promoción
• • Información sobre la promoción • Información de segmentación del
• • Información de segmentación del mercado
mercado • Tasas de abandono de clientes
• • Modelos de ingresos / precios • Tasas de conversión
• Modelos de ingresos / precios
• Información de Ventas
• Coste de Marketing
• Información del canal de comercialización
Servicio (objetivos) • Reclamaciones e informes de • Encuestas de satisfacción de los clientes • • Plan de continuidad del negocio (de
insatisfacción, número de reclamaciones y del servicio técnico de la compañía ahora en adelante PCN)
resueltas, métricas • Criterios de evaluación (para los • • Resultados de las pruebas de PCN
• Informes SSAE 16 proveedores de servicios) • • Datos del centro de operaciones de la
• Estudio de mercado (entradas a • Encuestas a los clientes (orientado a las empresa, gestión de la disponibilidad
identificación y prestación de servicios) necesidades del negocio, orientado a • • Análisis de clientes
• Evaluaciones comparativas resultados, orientado a satisfacción) • • Catálogo y acuerdos de nivel de servicio
(benchmarking) • ANSs de negocio de la empresa
• Análisis de clientes • • Información de logística inversa
• Catálogo y acuerdos de nivel de servicio
de la empresa
• Información de logística inversa

APÉNDICE B
OBJETIVOS DE LAS ÁREAS FUNCIONALES
Figura 71—Ejemplos de elementos de Información en flujos de Información que soportan los objetivos de la cadena de valor de la
empresa (cont.)
Área funcional Cuerpo de Gobierno Cuerpo de Gobierno Cuerpo de Gobierno
Objetivos de TI El apéndice C contiene un ejemplo •
exhaustivo de tabla de asignación que
muestra cómo los objetivos relacionados
con TI se apoyan en una serie de
elementos de información.


APÉNDICE C
OBJETIVOS RELACIONADOS CON TI
APÉNDICE C
EJEMPLO DE ELEMENTOS DE INFORMACIÓN QUE DAN SOPORTE A LOS OBJETIVOS
RELACIONADOS CON TI
La Figura 72 contiene los típicos ítems de información que soportan la consecución de la totalidad de los 17 objetivos
relacionados con TI en la lista de objetivos de COBIT 5 que aparecen en la publicación principal del marco COBIT 5.
La tabla es genérica, pero no completa – cada compañía tiene necesidades de información y definiciones de elementos
específicas.
Figura 72—Elementos de información de apoyo a los objetivos relacionados con TI (Genérico)

Elementos clave de información
Objetivos genéricos para apoyar la consecución de Criterios ilustrativos de
relacionados con TI objetivos relacionados con TI calidad Métricas relacionadas
ITG01 Alineamiento de TI y Plan estratégico de TI • Actualidad Tiempo transcurrido desde la última actualización del plan
la estrategia de estratégico de TI
negocio Estrategia de empresa • Integridad Porcentaje de objetivos relacionados con las TI que se
traducen en potenciales programas de inversión habilitados
para TI (hoja de ruta)
Tipos y criterios de inversión • Prestigio Comparación de la composición de la cartera de inversión
• Credibilidad con la industria (informes de analistas de la industria)
• Pertinencia
Informes de rendimiento • Exactitud Facilidad de lectura y comprensión por las partes interesadas
• Actualidad
• Relevancia Satisfacción de las partes interesadas con el alcance de la
• Integridad cartera prevista de programas y servicios
ITG02 Cumplimiento de TI y • Registro de requisitos • Exactitud Costo del incumplimiento de TI, incluidas las liquidaciones y
apoyo para el de cumplimiento • Integridad las multas, y el impacto de la pérdida de prestigio
cumplimiento del relacionados con TI • Actualidad
negocio con las leyes • Informes de garantía de • Exactitud Número de problemas de incumplimiento relacionados con TI
y regulaciones cumplimiento • Integridad reportados a la junta directiva o causantes de escarnio o
externas • Actualidad comentario público
• Representación Concisa
• Exactitud Numero de problemas de incumplimiento relacionados con
• Integridad acuerdos contractuales con proveedores de servicios de TI
• Actualidad
• Exactitud Cobertura de las evaluaciones de cumplimiento
• Integridad
• Actualidad
ITG03 Compromiso de la Estrategia de sistemas de • Pertinencia Número de estrategias de recompensa que hacen referencia
dirección ejecutiva recompensa a la toma de decisiones relacionadas con TI
para la toma de Porcentaje de puestos de gestión ejecutivos con
Modelo de toma de • Disponibilidad
decisiones
relacionadas con TI decisiones relacionado • Actualidad responsabilidades claramente definidas para las decisiones
con TI • Verosimilitud de TI
• Exactitud Frecuencia de las reuniones del comité de estrategia
• Disponibilidad (ejecutiva) de TI
• Actualidad
• Verosimilitud
• Exactitud Tasa de ejecución de las decisiones ejecutivas relacionadas
• Actualidad con TI
• Verosimilitud
Principios que guían el • Exactitud Número de veces que temas relacionados con TI están en la
gobierno empresarial agenda del consejo de administración de manera proactiva.
• Relevancia Aprobación de los principios de gobierno por el comité
• Integridad ejecutivo

Figura 72—Elementos de información de apoyo a objetivos relacionados con TI (Genérico) (cont.)

Elementos clave de información
Objetivos genéricos para apoyar la consecución de Criterios ilustrativos de
relacionados con TI objetivos relacionados con TI calidad Métricas relacionadas
ITG04 Gestión de riesgos de Aceptación de riesgo • Objetividad Diversidad y nivel de responsabilidad (comité de
negocio relacionados • Exactitud dirección, ejecutivo, gestión, operativo) de las personas
con TI que determinan la aceptación de riesgo
Perfil de riesgo, incluidos los • Actualidad Frecuencia de actualización del perfil de riesgo
resultados de la evaluación de Porcentaje de procesos críticos de negocio, servicios de
• Exactitud
riesgos TI y programas de negocio habilitados para TI que están
• Objetividad
cubiertos por la evaluación de riesgos
• Exactitud Número de incidentes significativos relacionados con TI
• Objetividad que no fueron identificados en la evaluación de riesgos
• Actualidad
Políticas de gestión de riesgos • Exactitud Porcentaje de evaluaciones de riesgo de la empresa
• Disponibilidad que incluyen riesgos relacionados con TI
• Actualidad
ITG05 Beneficios Hoja de ruta estratégica • Exactitud Porcentaje de inversiones facilitadas por TI incluidas en
materializados por • Pertinencia la hoja de ruta estratégica
inversiones • Integridad
posibilitadas por TI y • Comprensibilidad
la cartera de servicios • Exactitud Porcentaje de carencias previamente identificadas en
Carencias identificadas en los
servicios de TI para el negocio • Objetividad los servicios de TI para el negocio cubiertas por nuevos
• Prestigio servicios de TI
• Integridad
• Actualidad
Informes de rendimiento • Objetividad Porcentaje de inversiones facilitadas por TI, donde la
• Integridad realización de beneficios es controlada a través del ciclo
de vida económico
• Exactitud Porcentaje de servicios de TI donde se han alcanzado
• Relevancia los beneficios esperados
• Actualidad
• Exactitud Porcentaje de inversiones facilitadas por TI donde los
• Relevancia beneficios de los casos de negocio son cumplidos o
• Integridad superados
• Actualidad
Acciones para mejorar • Objetividad Porcentaje de contribución a la mejora de la entrega de
la creación de valor • Verosimilitud valor por acción
• Relevancia
• Exactitud Porcentaje de acciones que cumplen la mejora
• Objetividad esperada en la entrega de valor
• Verosimilitud

APÉNDICE C
Figura 72—Ítems de información de apoyo a objetivos relacionados con TI (Genérico) (cont.)

Ítems clave de información para
Objetivos genéricos apoyar la consecución de Criterios ilustrativos de
relacionados con TI objetivos relacionadoscon TI calidad Métricas relacionadas
ITG06 Transparencia de los Requerimientos para las • Exactitud Porcentaje de revisiones de inicio de etapa, incluyendo
costes, beneficios y revisiones de etapa • Pertinencia la comparación entre lo real y lo presupuestado y los
riesgos de TI • Actualidad límites relacionados para hacer/no hacer
Comunicaciones de presupuesto • Integridad Porcentaje de casos de negocio de inversión con los
• Representación Consistente costes y beneficios esperados relacionados con TI
• Comprensibilidad claramente definidos y aprobados
• Objetividad Satisfacción de los principales inversores en relación
• Pertinencia con la transparencia, comprensión y exactitud de la
• Actualidad información financiera de TI
• Facilidad de manipulación
Comunicaciones de asignación • Exactitud Porcentaje de servicios de TI con costes operacionales
de costos • Verosimilitud y beneficios esperados claramente definidos y
• Integridad aprobados
• Representación Consistente
• Objetividad Satisfacción de los principales inversores en relación
• Pertinencia con la transparencia, comprensión y exactitud de la
• Actualidad información financiera de TI
Perfil de riesgo agregado, • Exactitud Porcentaje de perfiles de riesgo que incluyen la
incluyendo el estado de las • Integridad información del impacto financiero en TI
acciones de gestión de riesgos
Resultados de las revisiones de • Exactitud Porcentaje de realización de ahorro de costes en TI en
optimización de costes • Prestigio comparación con el objetivo
• Pertinencia
• Actualidad
Informes de realización de • Exactitud Porcentaje de realización de beneficios de TI en
beneficios • Prestigio comparación con la realización de beneficios objetivo
• Pertinencia
• Actualidad
• Objetividad Porcentaje de satisfacción de los usuarios de negocio
• Verosimilitud con los nuevos servicios de TI
• Pertinencia
• Integridad


ITG07 Entrega de Expectativas de negocio • Exactitud Porcentaje de casos de negocio para inversiones
servicios de TI clarificadas y acordadas • Integridad facilitadas por TI que tienen expectativas/requerimientos
en línea con los • Representación Consistente de negocio claros y acordados
requerimientos • Comprensibilidad
del negocio Informes de rendimiento de nivel • Exactitud Porcentaje de propietarios de procesos de negocio
de servicio • Objetividad satisfechos con la prestación de servicios de TI que
• Prestigio cumplieron los niveles de servicio acordados
• Pertinencia
Resultados de la revisión de • Objetividad Número de interrupciones en el negocio debidas a
calidad, incluyendo comentarios • Verosimilitud incidencias en el servicio de TI
de los clientes, excepciones y • Relevancia
correcciones • Integridad
• Exactitud Porcentaje de usuarios satisfechos con la calidad y la
• Objetividad puntualidad de la prestación de servicios de TI
• Relevancia
• Actualidad
Carencias identificadas en los • Exactitud Porcentaje de usuarios satisfechos con el número de
servicios de TI para el negocio • Objetividad servicios que TI presta
• Relevancia
• Actualidad
• Exactitud Porcentaje de carencias previamente identificadas en
• Objetividad los servicios de TI para el negocio cubiertas por nuevos
• Reputación servicios de TI
• Integridad
• Actualidad
Resultados de las revisiones de • Exactitud Porcentaje de usuarios de negocio, convencidos de que
eficacia del procesamiento • Objetividad los servicios de TI recientemente actualizados han
• Relevancia mejorado considerablemente la eficacia de
• Integridad procesamiento
• Actualidad

APÉNDICE C

ITG08 Uso adecuado de Programa de reconocimiento y • Objetividad Porcentaje de usuarios de negocio que consideran que
aplicaciones, recompensa • Verosimilitud los servicios de TI proporcionados han mejorado y
información y • Integridad facilitado su trabajo
soluciones
• Objetividad Porcentaje de propietarios de procesos de negocio
tecnológicas
• Verosimilitud satisfechos de la colaboración con el departamento de
• Integridad TI
Evaluaciones del uso de • Exactitud Nivel de comprensión del usuario de negocio sobre
enfoques innovadores • Objetividad cómo las soluciones tecnológicas apoyan sus procesos
• Reputación
Medidas de éxito y resultados • Objetividad Porcentaje de propietarios de procesos de negocio
• Verosimilitud satisfechos con el apoyo de productos y servicios TI
• Integridad
• Exactitud Valor actual neto (VAN) mostrando la satisfacción del
• Relevancia negocio con la calidad y la utilidad de las soluciones
• Integridad tecnológicas
Resultados de la auditoría de • Exactitud Porcentaje de soluciones tecnológicas conforme con las
cumplimiento • Relevancia políticas y otras normativas aplicables
• Actualidad
• Cantidad apropriada
Revisiones de uso operativo • Exactitud Porcentaje de características no utilizadas que fueron
• Objetividad explícitamente especificadas en los requisitos
• Relevancia funcionales
• Integridad
Informe de la revisión post- • Objetividad Nivel de satisfacción de los usuarios de negocio con la
implementación • Verosimilitud formación y los manuales de usuario
• Reputación
• Actualidad
ITG09 Agilidad de TI Arquitectura de datos (modelo de • Exactitud Número de procesos críticos de negocio soportados por
arquitectura de información), • Integridad infraestructura y aplicaciones actualizadas
especialmente la gestión de • Relevancia
datos maestros y el modelo de • Actualidad
arquitectura de proceso • Representación Consistente
• Disponibilidad
Cartera de servicios • Actualidad Tiempo promedio para convertir los objetivos
• Relevancia estratégicos de TI en una iniciativa acordada y aprobada
• Disponibilidad
Métricas operativas de la cartera • Objetividad Nivel de satisfacción de los ejecutivos de negocio con la
de servicios • Relevancia capacidad de respuesta de TI a las nuevas necesidades


ITG10 Seguridad de la Directrices de clasificación de • Exactitud Porcentaje de usuarios de negocio que tienen un
información, datos • Integridad conocimiento profundo de las normas de clasificación de
infraestructura de • Interpretabilidad datos
procesamiento y • Comprensibilidad
aplicaciones Derechos de acceso de usuario • Exactitud Tiempo para conceder, modificar y eliminar los
aprobados (en términos de roles • Integridad privilegios de acceso, en comparación con los niveles de
y sensibilidades de datos) servicio acordados
Clasificación de las fuentes de • Exactitud Porcentaje de clasificaciones de la información de
información (taxonomía de • Actualidad acuerdo con la taxonomía de seguridad
Directrices) de seguridad y control • Exactitud Número de servicios de TI con requisitos de seguridad
de datos • Objetividad excepcionales
• Integridad
• Actualidad
Problemas de • Exactitud Número de incidentes de seguridad que causan
seguridad/recuento de incidentes • Objetividad pérdidas económicas, interrupción del negocio o
• Fiabilidad vergüenza pública
• Relevancia
• Integridad
Métricas de resumen para • Exactitud Porcentaje de conformidad con las normas y directrices
seguridad de la información • Integridad actuales durante la última evaluación de la seguridad de
• Actualidad información
ITG11 Optimisation of IT Arquitectura empresarial (modelo • Exactitud Frecuencia evaluación de la madurez de la capacidad y
assets, resources de arquitectura de • Integridad de la optimización de los activos
and capabilities datos/información) • Actualidad
• Objetividad Niveles de satisfacción de los ejecutivos de negocio y de
• Verosimilitud TI con los activos, recursos y capacidades relacionados
• Relevancia con las TI
• Integridad
• Actualidad
Procedimientos de integridad de • Exactitud Porcentaje de usuarios de negocio satisfechos con la
datos • Objetividad integridad de los datos de negocio
• Relevancia
• Integridad
• Actualidad
• Exactitud Número de hallazgos de auditoría con seguimiento
• Integridad oportuno y resolución de problemas de integridad de
• Actualidad datos
• Disponibilidad
Alineación de la cartera con la • Objetividad Nivel de satisfacción de los ejecutivos de negocio y de
estrategia de información • Verosimilitud TI con la alineación de la estrategia de información con
(redundancia de datos, análisis • Relevancia las iniciativas facilitadas por TI
de las carencias de arquitectura) • Integridad
• Actualidad
• Exactitud Contribución de las iniciativas de la cartera a la
• Objetividad realización de la estrategia (a largo plazo) de la
• Verosimilitud información
• Relevancia
• Integridad
• Actualidad
• Exactitud Porcentaje de carencias identificadas resueltas por
• Relevancia nuevas iniciativas de la cartera
• Actualidad

APÉNDICE C

ITG12 Activación y apoyo a Arquitectura de datos con • Exactitud Porcentaje de procesos de negocio cubierto en el
los procesos de correspondencias con los • Integridad mapeo de la arquitectura de datos
negocio mediante la procesos de negocio • Actualidad
integración de
Modelo de arquitectura de • Exactitud Grado de conformidad entre el modelo de procesos y la
aplicaciones y la
tecnología en los procesos • Objetividad ejecución de los procesos en la vida real
procesos de negocio • Verosimilitud
• Relevancia
• Integridad
• Actualidad
• Exactitud Número de procesos críticos de negocio totalmente
• Integridad soportados por el modelo de arquitectura de procesos
• Actualidad
Modelo de arquitectura de • Exactitud Número de duplicidades encontradas para cada entidad
información • Objetividad de información
• Integridad
• Exactitud Evolución del número de relaciones entre elementos de
• Integridad información
• Actualidad
• Representación consistente
• Exactitud Número de atributos de elementos de información no
• Integridad utilizados
• Actualidad
Análisis de carencias de • Exactitud Número de aplicaciones o infraestructuras críticas que
arquitectura • Objetividad funcionan en silos y no están integradas
• Integridad
• Actualidad
Evaluaciones de la calidad de la • Exactitud Número de cambios de procesos de negocio que
arquitectura • Relevancia necesitan ser retrasados o reelaborados debido a
• Integridad problemas de integración de tecnología
• Exactitud Número de incidentes de procesos de negocio
• Objetividad causados por errores de integración de la tecnología
• Relevancia
• Integridad
• Exactitud Número de programas de negocio habilitados para TI
• Relevancia retrasados o que incurren en costos adicionales debido
• Integridad a problemas de integración de tecnología


ITG13 Entrega de los Informes de rendimiento de la • Exactitud Número de programas / proyectos ejecutados a tiempo
programas que dan cartera de inversión • Integridad y dentro del presupuesto
beneficios a tiempo, • Actualidad
dentro del Porcentaje de personas interesadas satisfechas con la
• Objetividad
presupuesto, y calidad de los entregables de programas/proyectos
• Verosimilitud
cumpliendo los
• Relevancia
requisitos y
estándares de • Integridad
calidad • Exactitud Número de programas que necesitan una revisión
• Objetividad significativa, debido a defectos de calidad
• Relevancia
• Actualidad
Matriz de habilidades y • Objetividad Nivel de habilidades y competencias requeridas frente a
competencias • Relevancia las habilidades actuales y las competencias existentes
• Integridad en la organización del proyecto
• Actualidad
Asignaciones de presupuesto de • Exactitud Coste de los programas y nuevos desarrollos frente al
TI • Integridad coste total de TI
• Actualidad
• Exactitud Porcentaje de proyectos que exceden el presupuesto a
• Integridad su finalización.
Expectativas de retorno de • Exactitud Porcentaje de proyectos/programas que consiguen los
inversión • Integridad beneficios definidos en el modelo de negocio
• Actualidad
Resultados del análisis de riesgo • Exactitud Porcentaje de proyectos o programas con
• Objetividad alto/medio/bajo riesgo de no cumplir con los requisitos
• Relevancia de tiempo, calidad, alcance y/o presupuesto
• Integridad
ITG14 Disponibilidad of Acuerdos de nivel de • Objetividad Nivel de satisfacción de los usuarios de negocio con la
reliable and useful servicio/Acuerdos de nivel de • Reputación calidad y oportunidad (o disponibilidad) de la información
Información for funcionamiento (SLAs/OLAs) • Relevancia de gestión
decision making • Integridad
• Actualidad
• Exactitud Porcentaje de información de gestión no producida de
• Objetividad acuerdo con los niveles definidos en los acuerdos de
• Relevancia nivel de servicio/acuerdos de nivel de funcionamiento
• Integridad (SLAs/OLAs)
• Actualidad
Causas originarias de los fallos y • Exactitud Número de incidentes de procesos de negocio debidos
recomendaciones de entrega de • Objetividad a la no disponibilidad de la información
calidad • Relevancia
• Integridad
Informes de análisis de riesgo y • Exactitud Proporción y alcance de las decisiones empresariales
perfil de riesgo para las partes • Objetividad erróneas, donde la errónea o no disponible información
interesadas • Relevancia de riesgo fue un factor clave
• Integridad
• Actualidad
Informe de estado de • Objetividad Satisfacción de los ejecutivos de negocios y de TI con la
incidentes y tendencias • Reputación calidad y el contenido de los informes de tendencia
• Integridad producidos, como soporte a la toma de decisiones
• Actualidad

APÉNDICE C

ITG15 Cumplimiento de TI Políticas y marcos internos • Objetividad Nivel de entendimiento de las políticas internas por parte
con las políticas • Verosimilitud de las partes interesadas
internas • Relevancia
• Integridad
• Exactitud Frecuencia de revisión y actualización de las políticas
• Actualidad
Factores y problemas de • Exactitud Porcentaje de problemas y factores de riesgo
riesgo emergentes • Relevancia emergentes que se han tratado en las políticas internas
• Integridad
• Actualidad
Resultados de evaluaciones (de • Exactitud Número de incidentes relacionados con el
terceros) de calidad / riesgo • Relevancia incumplimiento de las políticas
• Integridad
• Exactitud Porcentaje de políticas apoyadas por estándares y
• Objetividad prácticas de trabajo eficaces
• Integridad
• Actualidad
ITG16 Personal de TI Enfoque de sistemas de • Exactitud Porcentaje de personal de TI satisfecho con sus
competente y recompensa • Relevancia recompensas y su posible trayectoria profesional
motivado • Integridad
• Actualidad
Matriz de habilidades y • Objetividad Satisfacción de los ejecutivos de negocios y de TI con
competencias • Integridad las competencias del personal de TI
• Exactitud Porcentaje de empleados cuyas habilidades
• Objetividad relacionadas con las TI son suficientes para la
• Relevancia competencia requerida por su función
• Actualidad
• Exactitud Número de horas de aprendizaje/formación por
• Integridad empleado
Hoja de ruta estratégica • Objetividad Grado de alineamiento entre la estrategia de
• Relevancia contratación y la hoja de ruta estratégica de la
• Actualidad organización
Funciones, responsabilidades y • Exactitud Porcentaje de personal de TI que realiza funciones y
derechos de decisión del sistema • Objetividad asume responsabilidades del sistema de gestión de
de gestión de calidad (SGC) • Actualidad calidad (SGC)
ITG17 Conocimiento, Hoja de ruta estratégica • Verosimilitud Nivel de conocimiento y comprensión de las
experiencia e • Integridad posibilidades de innovación de TI por parte de los
iniciativas para la • Actualidad ejecutivos de negocio
innovación • Interpretabilidad
empresarial • Comprensibilidad
Plan de innovación • Disponibilidad Número de iniciativas aprobadas como resultado de
• Integridad ideas innovadoras de TI
• Actualidad
• Verosimilitud
• Relevancia
Informes del conducta de la • Actualidad Satisfacción de los accionistas con los niveles de
innovación • Objetividad experiencia en innovación de TI y con las ideas
• Reputación presentes en la organización


Gobierno 4 Controladores de Informacion PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gobierno 4 Controladores de Informacion PDF

Загружено:

Авторское право:

Доступные форматы

Información Catalizadora

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Copyright / Reserva de Derechos

COBIT® 5: Información Catalizadora

2 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Provide Feedback: www.isaca.org/cobit

COBIT® 5: Enabling Information

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Fuerza de trabajo de COBIT 5 IRM

Consejo de Administración de ISACA

4 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Comisión del Marco

Equipo de traducción ISACA Barcelona:

Personal Copy of: Lic. Manuel Itandeui Flores Ortega 5

Capítulo 2. Principios de COBIT 5 aplicados a la Información ........................................................................................... 17

Capítulo 3. Modelo de Información de COBIT 5 ................................................................................................................... 31

Capítulo 4. Abordando cuestiones de Gobernanza y Gestión de la Información con COBIT 5 .................................... 51

6 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

4.7 Gobierno de la Información/Problema de Gestión: informática de usuario final .......................................................... 68

Apéndice A. Otra información de referencia .......................................................................................................................... 81

Personal Copy of: Lic. Manuel Itandeui Flores Ortega 7

8 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Figura 45—Conjunto ilustrativo de catalizadores para la detección del fraude ........................................................................60

Personal Copy of: Lic. Manuel Itandeui Flores Ortega 9

Página dejada en blanco intencionadamente

10 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

La familia de productos COBIT 5 incluye los siguientes productos:

1.2 Beneficios de COBIT 5: Información Catalizadora

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

1.3 Público objetivo de esta publicación

Figura 2—Público objetivo y beneficios de COBIT 5: Información Catalizadora

12 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Figura 2— Público objetivo y beneficios de COBIT 5: Información Catalizadora (cont.)

1.4 Conocimiento requerido previamente

Adicionalmente, COBIT 5: Información Catalizadora se refiere:

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

14 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Figura 3—COBIT 5: Información Catalizadora y Preguntas formuladas frecuentemente (FAQ)

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

16 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

2.1 Principios de COBIT 5

COBIT 5: Catalizador de Información proporciona una visión de la empresa centrada en la información. La

Principio 2: Cubrir la empresa en su totalidad—COBIT 5 integra el gobierno de las TI de la empresa en el gobierno

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

COBIT 5: Catalizador de Información distingue entre el gobierno de la información y la gestión de la información en la

2.1.1 Satisfacer las necesidades de las partes interesadas

18 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

• ¿Para quién son los beneficios?

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

PASO A. ELOBJETIVO DE GOBIERNO INFLUYE EN LOS OBJETIVOS DE LA EMPRESA

20 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Figura 7—Objetivos generales de empresa (Marco de referencia COBIT 5)

PASO B. LOS OBJETIVOS DE LA EMPRESA IMPULSAN LOS OBJETIVOS DE FUNCIÓN

PASO C. LOS OBJETIVOS DE FUNCIÓN IMPULSAN LOS OBJETIVOS CATALIZADORES

2.1.2 Abarcando la empresa en su totalidad

Los objetivos en cascada de la figura 6 muestran:

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

22 Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Área Funcional Órgano de gobierno Gestión (Dirección) Operaciones y Ejecución

Figura 10—Objetivos genéricos relacionados con TI

Personal Copy of: Lic. Manuel Itandeui Flores Ortega

Figura 10—Objetivos genéricos relacionados con TI

24 Personal Copy of: Lic. Manuel Itandeui Flores Ortega