COBIT vs ITIL vs ISO 38500: Guía Práctica para no Perderse

gobernanza-ti tecnologia cobit itil iso38500 management

Cuando se habla de Gobernanza de TI y gestión de servicios tecnológicos, es inevitable tropezar rápidamente con un denso bosque de acrónimos: COBIT, ITIL, ISO/IEC 38500, TOGAF, CMMI... Para un líder técnico, CIO o CTO que busca poner orden en el caos de su organización, esta sopa de letras puede resultar abrumadora.

En el artículo introductorio sobre Gobernanza de TI ya los mencionamos. Hoy vamos a desgranar los tres referentes principales (COBIT, ITIL e ISO 38500) para entender qué son, qué problemas resuelven y, lo más importante, cómo coexisten en el mundo real.

El Problema de la "Talla Única"

El primer error que cometen muchas organizaciones es intentar adoptar un marco de trabajo "de manual", implementando todos y cada uno de sus procesos. La realidad es que estos marcos son bibliotecas de buenas prácticas, no leyes inmutables. Se deben adaptar y mezclar según el tamaño, la madurez y la cultura de la empresa.

1. ISO/IEC 38500: Principios para la Alta Dirección

¿Qué es? Es el estándar internacional para el Gobierno Corporativo de la TI. Es el marco de más alto nivel de los tres.

¿Para qué sirve? No te dice cómo gestionar servidores ni qué procesos implementar. Su objetivo es proporcionar un marco de seis principios para el Consejo de Administración y la Alta Dirección sobre cómo deben evaluar, dirigir y monitorizar el uso de las tecnologías de la información:

  1. Responsabilidad: Todos deben entender y aceptar sus responsabilidades frente a la TI.
  2. Estrategia: Los planes de negocio y TI están alineados.
  3. Adquisición: Las inversiones en TI se hacen en base a análisis de beneficios, riesgos y costes.
  4. Rendimiento: La TI da soporte efectivo al negocio, asegurando disponibilidad.
  5. Conformidad: La TI cumple con las leyes y normativas.
  6. Comportamiento Humano: Las políticas de TI respetan los comportamientos humanos y sus necesidades.

¿Cuándo usarlo? Es el punto de partida ideal para el Consejo de Administración (C-Level) para establecer el "Tono desde arriba" (Tone at the Top) respecto a la importancia estratégica de la tecnología.

2. COBIT: El "Qué" del Gobierno de TI

¿Qué es? COBIT (Control Objectives for Information and Related Technologies), desarrollado por ISACA, es un marco integral para el gobierno y la gestión de las TI de la empresa.

¿Para qué sirve? COBIT funciona como un puente entre los objetivos del negocio y los objetivos de TI. Mientras la ISO 38500 da los grandes principios directivos, COBIT define en gran detalle los objetivos de control (el "Qué" hay que lograr). Ayuda a:

  • Alinear TI con el negocio (Ej: "Asegurar la entrega de valor").
  • Gestionar riesgos y seguridad ("Gestionar el riesgo de TI").
  • Medir el impacto mediante cascadas de metas y métricas muy bien definidas.

¿Cuándo usarlo? Es el marco predilecto para auditorías de sistemas y cumplimiento normativo. A los CIOs les encanta porque les da una estructura robusta para reportar riesgos y madurez al Consejo (alineándose así con la ISO 38500).

3. ITIL: El "Cómo" de la Gestión de Servicios

¿Qué es? ITIL (Information Technology Infrastructure Library), originalmente desarrollado por el gobierno británico y ahora gestionado por Axelos, es el marco de referencia mundial para la Gestión de Servicios de TI (ITSM).

¿Para qué sirve? Es el manual operativo definitivo. Si la ISO dice "Alineate", y COBIT dice "Qué controles medir para asegurar la alineación", ITIL te dice cómo operar el día a día para entregar esos servicios (el "Cómo"). Describe detalladamente procesos como:

  • Gestión de Incidentes (cuándo y cómo se escala un problema si se cae un servidor).
  • Gestión de Problemas (investigar la causa raíz para que el incidente no se repita).
  • Gestión de Cambios (cómo pasar código a producción sin romper nada).
  • Gestión del Nivel de Servicio (SLAs con el negocio o clientes).

¿Cuándo usarlo? ITIL es el pan de cada día de los Service Desk (atención al usuario), equipos de operaciones e infraestructura. Con la última versión (ITIL 4), el marco ha evolucionado para modernizarse y abrazar metodologías como Agile, Lean y DevOps.

La Analogía del Edificio (Cómo Juntarlo Todo)

Para entender cómo encajan, imagina que estás construyendo un rascacielos:

  • Empresarios (ISO 38500): Definen los principios generales del edificio. "Debe ser sostenible, seguro para los inquilinos, rentable de alquilar y cumplir las leyes del ayuntamiento". No les importa la marca del cemento.
  • Arquitecto Principal (COBIT): Toma esos principios y diseña los planos y los controles. "Necesitamos escaleras de incendios cada 3 plantas con puertas cortafuegos, y sistemas de medición de eficiencia energética". Se aseguran de que el edificio logre las metas y cumpla las normativas.
  • Constructores y Mantenimiento (ITIL): Toman los planos y ejecutan el trabajo diario. "Este es nuestro proceso paso a paso para soldar las tuberías, y este es nuestro catálogo de servicios para cuando se funda una bombilla".

Conclusión

El debate no es "COBIT versus ITIL". El éxito en la gobernanza tecnológica moderna requiere adoptar un enfoque pragmático:

  1. Fija el rumbo estratégico con ISO 38500.
  2. Establece los procesos de control y auditoría que liguen TI al negocio usando piezas de COBIT.
  3. Organiza tu trabajo diario, operaciones y soporte técnico con las mejores prácticas de ITIL.

Al final del día, el mejor marco de trabajo es aquel que nadie nota porque está perfectamente integrado en la cultura y la forma natural de trabajar de tu equipo.

¿Utilizáis algún marco de referencia formal en vuestra organización tecnológica o preferís enfoques puramente ágiles?

Siguiente Entrada