4.

Mejora continua
4.1. Modelos de Calidad y Madurez
4.1.1. COBIT - ISO 20000

COBIT - Objetivos de control para la información y tecnologías relacionadas

Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control

Objectives for Information and related Technology) es una guía de mejores prácticas presentado
como framework, dirigida al control y supervisión de tecnología de la información (TI).

Es mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en
inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de
referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de
control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de
técnicas de gestión.

Misión

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de

control generalmente aceptados para las tecnologías de la información que sean autorizados (dados
por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores
de negocios (también directivos) y auditores". Gestores, auditores, y usuarios se benefician del
desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información y decidir el nivel de
seguridad y control que es necesario para proteger los activos de sus compañías mediante el
desarrollo de un modelo de administración de las tecnologías de la información.

COBIT 4.1

En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos o
detallados) clasificados en cuatro dominios:
 Planificación y Organización (Plan and Organize))
 Adquisición e Implantación (Acquire and Implement)
 Entrega y Soporte (Deliver and Support)
 Supervisión y Evaluación (Monitor and Evaluate)

COBIT 5

Isaca lanzó el 10 de abril de 2012 la nueva edición de este marco de referencia. COBIT 5 es la última
edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del
Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de
valor para las empresas.

Beneficios

COBIT 5 ayuda a empresas de todos los tamaños a:

 Optimizar los servicios el coste de las TI y la tecnología
 Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
 Gestión de nuevas tecnologías de información
4. Mejora continua
4.1. Modelos de Calidad y Madurez
4.1.1. COBIT - ISO 20000

ISO/IEC 20000

La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO
(International Organization for Standardization) e IEC (International Electrotechnical Commission)
el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios
de TI (Tecnologías de la Información). La serie 20000 proviene de la adopción de la serie BS 15000
desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

La certificación en esta norma internacional permite demostrar de manera independiente que los
servicios ofrecidos cumplen con las mejores prácticas.

La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores
prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado
de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y
medidas frente a un conjunto establecido de requisitos.

La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o

parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para
proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica,
proveedores externos de TI o incluso organizaciones subcontratadas.

Organización

El estándar se compone de 5 partes:

 Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestión de servicios
 Parte 2: ISO/IEC 20000-2:2012 - Guía de implementación de sistemas de gestión de servicios
 Parte 3: ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la aplicabilidad
(informe técnico)
 Parte 4: ISO/IEC DTR 20000-4:2010 - Modelo de referencia de procesos (informe técnico)
 Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de implementación (informe técnico)

La primera parte (Especificación) define los requerimientos (217) necesarios para realizar una
entrega de servicios de TI alineados con las necesidades del negocio, con calidad y valor añadido
para los clientes, asegurando una optimización de los costes y garantizando la seguridad de la
entrega en todo momento. El cumplimiento de esta parte, garantiza además, que se está realizando
un ciclo de mejora continuo en la gestión de servicios de TI. La especificación supone un completo
sistema de gestión basado en procesos de gestión de servicio, políticas, objetivos y controles. El
marco de procesos diseñado se organiza con base en los siguientes bloques: Grupo de procesos de
Provisión del Servicio, Grupo de procesos de Control, Grupo de procesos de Entrega, Grupo de
procesos de Resolución, Grupo de procesos de Relaciones.

La segunda parte (Código de Prácticas) representa el conjunto de buenas prácticas adoptadas y

aceptadas por la industria en materia de Gestión de Servicio de TI. Está basada en el estándar de
facto ITIL (Biblioteca de Infraestructura de TI) y sirve como guía y soporte en el establecimiento de
acciones de mejora en el servicio o preparación de auditorías contra el estándar ISO/IEC 20000-
1:2005.
4. Mejora continua
4.1. Modelos de Calidad y Madurez
4.1.1. COBIT - ISO 20000