Hace años, el modelo de evaluación de procesos COBIT® 5 (PAM) se usaba comúnmente para evaluar el nivel de madurez de una implementación de COBIT®. El PAM proporcionó indicadores para nueve atributos y seis niveles de capacidad de proceso y se utilizó para guiar a los auditores y departamentos de T.I.
Al no existir un PAM para COBIT® 2019, la Integración del modelo de madurez de capacidad (CMMI) se puede utilizar para medir los niveles de capacidad y combinar esa información con otros factores para dar valor al proceso organizacional con la finalidad de medir el nivel madurez. Con esa información, es posible crear esquemas y herramientas personalizados.
Construyendo el modelo de madurez
El Marco COBIT 2019: Gobernanza y objetivos de gestión describe el nivel de capacidad esperado para cada una de las 1202 actividades. A partir de la puntuación obtenida en esas actividades, es posible obtener el nivel de madurez para las 231 prácticas, los 40 objetivos y, en consecuencia, los 5 dominios que constituyen el Marco COBIT 2019.1 La figura 1 describe las prácticas de gobierno, métricas de ejemplo, actividades y niveles de capacidad esperados.
Fuente: ISACA, COBIT® 2019 Framework: Governance and Management Objectives, USA, 2018, http://ku25.suzhuan-sh.com/resources/cobit
Estas 1202 actividades constituyen la base del modelo. Que CMMI ha definido en seis niveles de capacidad como se muestra en la figura 2.
Fuente: ISACA, COBIT® 2019 Framework: Governance and Management Objectives, USA, 2018, http://ku25.suzhuan-sh.com/resources/cobit
Según el nivel de capacidad de la actividad, el siguiente paso es determinar cómo reflejar ese nivel en su correspondiente práctica. Para las organizaciones en etapas tempranas de madurez, se puede utilizar un cálculo de promedio simple para los valores de las actividades con el fin de obtener el puntaje o nivel de práctica. Si una organización tiene una mayor capacidad para describir los niveles de madurez de sus actividades, entonces se recomienda un promedio ponderado, de acuerdo con la capacidad de la organización, para describir esas actividades.
Determinar el nivel de madurez implica utilizar el nivel de capacidad combinado con otros factores para llegar a un puntaje que refleje no solo la existencia de las actividades, sino también una visión holística e integral de los procesos de la organización, que, combinada con otras métricas, se pueda presentar a la gerencia. Para lograrlo, es necesario correlacionar el nivel de capacidad con otros indicadores para obtener una mejor puntuación descriptiva de los procesos que pueda dar un enfoque conciso del estado organizacional. También es necesario crear hitos más allá de la descripción genérica de CMMI para cada práctica con el objetivo de identificar la evidencia esperada para el nivel de capacidad en cada actividad. Esto es especialmente importante para crear hojas de ruta para la remediación y medir los resultados a lo largo del camino.
El esquema del proceso de construcción consta de cinco pasos, tal y como se ilustra en la figura 3.
Toda la información debe integrarse en una herramienta que permita una evaluación de la organización y cree los informes adecuados en un lenguaje que la gerencia de alto nivel pueda comprender y patrocinar.
Una vez que toda la información está integrada en la herramienta, el cuadro de mando (scorecard) de la evaluación debe verse como el que se presenta en la figura 4.
Conclusión
Los modelos de madurez se están convirtiendo en el lenguaje común utilizado por las organizaciones para comprender el estado actual de sus implementaciones de COBIT. También sirven como guías para crear análisis de brechas y hojas de ruta para la mejora. Cada organización es diferente, por lo que diferentes caminos pueden lograr el resultado deseado para diferentes organizaciones, verticales, industrias o regiones.
Nota del autor
El autor desea agradecer a Mariela Varela y Raúl Rivera del Capítulo ISACA® Costa Rica por su revisión de este modelo y sus sugerencias de mejora.
Notas finales
1 ISACA®, COBIT® 2019 Framework: Governance and Management Objectives, USA, 2018, http://ku25.suzhuan-sh.com/resources/cobit
Luis Gorgona, CISA CDPSE
Es un profesional con 20 años de experiencia en T.I. y ciberseguridad. Se desempeñó como Director de Seguridad de la Información de la Casa Presidencial de Costa Rica entre 2006 y 2010. Durante ese período, fue instructor del Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo de la Organización de los Estados Americanos. Desde 2010 a la fecha ha trabajado para varias empresas transnacionales en campos relacionados con: seguridad de la información, ciberseguridad, riesgo, gobernanza y cumplimiento. En 2021 se incorporó a RSM Costa Rica como Socio Consultor de T.I.