ITIL y COBIT en instituciones públicas: ¿normativa obligatoria de la Contraloría General de la República en Costa Rica?

-

 


Por: Alonso Solano Segura

En Costa Rica, el uso de COBIT e ITIL no constituye una obligación legal directa establecida por la Contraloría General de la República (CGR). Lo que sí resulta de acatamiento obligatorio es que todas las instituciones públicas cuenten con un marco formal de gobierno y gestión de Tecnologías de Información (TI), conforme lo exige el sistema de control interno estatal y la normativa emitida por la CGR.

El primer paso formal en esta materia ocurrió en 2007, cuando la CGR emitió la resolución R-CO-26-2007 (publicada en La Gaceta No. 119 del 21 de junio), mediante la cual se aprobaron las Normas Técnicas para la Gestión y Control de las Tecnologías de Información (N-2-2007-CO-DFOE). Estas normas, de cumplimiento obligatorio, establecieron principios y controles alineados con las mejores prácticas internacionales, claramente inspirados en marcos como COBIT e ITIL, aunque sin mencionarlos de forma expresa.

En 2020, mediante la resolución R-DC-17-2020 (La Gaceta No. 62, 27 de marzo), la CGR derogó formalmente las Normas Técnicas de 2007. A partir de esta resolución, se estableció como mandato que cada institución pública debe definir, aprobar y divulgar su propio marco de gobierno y gestión de TI, acorde con su naturaleza y complejidad, y en alineación con las Normas de Control Interno (N-2-2009-CO-DFOE). Si bien la CGR no obliga a adoptar COBIT o ITIL de manera directa, ambos marcos son recomendados y ampliamente utilizados por las instituciones como referencia para cumplir con los objetivos de control requeridos.

El Gobierno de TI en Costa Rica tiene un fundamento legal sólido en la Ley General de Control Interno N° 8292 (2002), que obliga a todas las instituciones públicas a establecer sistemas de control interno eficientes. Esta ley faculta a la Contraloría General de la República (CGR) para emitir normativa técnica en la materia. En ejercicio de esas competencias, la CGR publicó en 2007 una directriz vinculante para todas las instituciones públicas enfocada en la gestión de Tecnologías de Información. Mediante la resolución R-CO-26-2007 (La Gaceta N°119 del 21 de junio de 2007), la Contraloría aprobó las “Normas técnicas para la gestión y el control de las Tecnologías de Información” (N-2-2007-CO-DFOE). Esta normativa estableció criterios mínimos de control que debían ser observados obligatoriamente en la gestión institucional de TI en todo el sector público. Su objetivo principal era mejorar la gestión de las TI en las entidades estatales, alineándola con principios de eficiencia, transparencia y seguridad. La CGR enfatizó que esta directriz era de acatamiento obligatorio, haciendo responsables al jerarca institucional y a los funcionarios subordinados de su cumplimiento, so pena de las sanciones administrativas correspondientes en caso de inobservancia. Para aplicar adecuadamente la normativa, se instó a las instituciones a implementar mecanismos de control interno específicos y a definir claramente las responsabilidades en materia de TI.

Con el tiempo, la rectoría en esta materia pasó al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), en concordancia con políticas nacionales de digitalización. En 2016, por ejemplo, una directriz presidencial (No. 043-MP) encomendó al MICITT evaluar la situación de las TIC en el Estado y formular políticas al respecto. Como resultado, Costa Rica adoptó la “Estrategia de Transformación Digital hacia la Costa Rica del Bicentenario 4.0” (2018) y concibió un Código Nacional de Tecnologías Digitales para unificar políticas tecnológicas en el sector público. En este contexto, las Normas Técnicas de 2007 de la CGR –que habían sido pioneras al llenar el vacío normativo en gestión de TI– quedaron desactualizadas frente a las nuevas necesidades y avances en mejores prácticas.

Actualización normativa (2020–2021): Como parte de la modernización del marco regulatorio, en 2020 la CGR emitió la resolución R-DC-17-2020 (17 de marzo de 2020, La Gaceta N°62 del 27 de marzo de 2020) donde derogó formalmente las Normas Técnicas de 2007 y estableció una nueva orientación. Dicha resolución determinó la necesidad de que cada institución pública defina e implemente su propio marco de gobierno y gestión de TI, adecuado a su contexto y tamaño, con miras a maximizar el aprovechamiento de la tecnología en la mejora de la gestión institucional. La CGR solicitó que este nuevo marco institucional de Gobierno de TI fuese declarado, aprobado y difundido a más tardar el 1° de enero de 2022. Esta exigencia marcó un hito, pues transfirió a cada entidad la responsabilidad de desarrollar un Gobierno de TI “a la medida”, aunque siempre basado en las buenas prácticas internacionales. En línea con este cambio, el MICITT emitió en 2021 una versión revisada de las normas técnicas (actualizada posteriormente en 2022) denominada “Marco Normativo de Gobierno y Gestión de las TI”, que recoge principios modernos de gobernanza digital. Estas normas vigentes incorporan estándares globales y requieren que cada institución pública establezca, evalúe y mejore continuamente su propio marco de control de TI, en concordancia con la Ley 8292. Se confirma así la obligación permanente de mantener un Gobierno de TI efectivo en cada organismo estatal, con la auditoría interna y la CGR vigilando su cumplimiento.

Objetivos y alcance de la directriz de la CGR

La directriz de la Contraloría en materia de Gobierno de TI persigue fortalecer la gobernanza de las tecnologías de información en el sector público costarricense, asegurando que la inversión en TI agregue valor y que los riesgos tecnológicos se mantengan bajo control. Sus objetivos centrales incluyen:

  • Alineación estratégica: garantizar que las iniciativas y recursos de TI estén alineados con la estrategia institucional y contribuyan al cumplimiento de la misión de cada entidad. Se busca que el Gobierno de TI en Costa Rica logre un balance adecuado entre inversiones, organización de recursos tecnológicos y prioridades del negocio público, de modo que las TI generen beneficios a costo razonable optimizando el riesgo.
  • Estandarización de controles: establecer criterios mínimos y buenas prácticas comunes que debían observarse en la administración de TI en todas las instituciones públicas, independientemente de su tamaño. La directriz abarcó áreas claves como planificación estratégica de TI, gobierno de TI, seguridad de la información, continuidad de negocio, desarrollo y mantenimiento de sistemas, gestión de infraestructura, servicios y soporte, monitoreo y aseguramiento, entre otros ámbitos críticos. De esta forma se pretendía crear un marco unificado que eleve el nivel de madurez en gestión TI en el Estado, cerrando las brechas entre instituciones avanzadas y rezagadas.
  • Transparencia y rendición de cuentas: la normativa busca que la gestión de TI provea trazabilidad en los procesos e información confiable y sistematizada para la toma de decisiones y la rendición de cuentas. Al formalizar estructuras y controles de TI, los jerarcas pueden demostrar mejor el uso eficiente de fondos públicos en tecnología y los resultados obtenidos. Esto cobra relevancia ante la CGR y entes fiscalizadores, facilitando las auditorías de TI y la evaluación del desempeño institucional.

El alcance de la directriz es amplio: todas las entidades sujetas a fiscalización de la CGR (ministerios, autónomas, municipalidades, universidades públicas, empresas estatales, etc.) están obligadas a acatarla. La Contraloría enfatizó la responsabilidad de la alta dirección (jerarcas) en establecer y respaldar el Gobierno de TI, así como la responsabilidad de las auditorías internas de verificar su cumplimiento efectivo. Cabe destacar que la implementación debe adaptarse a la realidad de cada institución. La directriz reconoce que no todas las entidades tienen la misma escala ni complejidad, por lo que exige un Gobierno de TI “según su tamaño” y contexto, aplicando los marcos de buenas prácticas de forma proporcional y gradual. En otras palabras, las buenas prácticas de TI en el sector público costarricense se adoptan respetando la naturaleza, tamaño y capacidades de cada organismo. Esta flexibilidad permite que instituciones pequeñas adopten controles acordes a sus recursos, mientras que instituciones grandes desplieguen marcos más sofisticados.

Tras la derogatoria de 2020, el objetivo inmediato fue que cada entidad contara con un Marco de Gobierno de TI declarado antes de 2022, lo que implicó definir políticas, estructuras de gobierno, procesos y métricas propias. Esto extendió el alcance de la directriz más allá de un documento único de la CGR, evolucionando hacia un modelo descentralizado: cada ente produce su propio manual de Gobierno de TI (alineado con COBIT, ITIL, ISO, etc.), pero la CGR mantiene la supervisión sobre su existencia y calidad.

Marcos de referencia: COBIT 2019 e ITIL 4 en el sector público

Para cumplir con los lineamientos de la CGR, las instituciones costarricenses han recurrido a marcos de referencia internacionales probados, como COBIT e ITIL, adaptándolos a sus necesidades. La directriz misma se basó en COBIT e ITIL como guías principales, dado que ambos proveen un lenguaje común y mejores prácticas reconocidas a nivel mundial para Gobierno y Gestión de TI.

COBIT (Control Objectives for Information and Related Technologies): Es un marco de gobernanza de TI desarrollado por ISACA, enfocado en alinear la tecnología con los objetivos del negocio, mediante principios, objetivos de control y métricas. COBIT ha tenido una influencia significativa en Costa Rica en el diseño de controles y auditorías de TI. De hecho, las Normas Técnicas emitidas por la CGR en 2007 se basaron conceptualmente en COBIT 4.1, adoptando dominios de control análogos a los de COBIT (por ejemplo, Planificación y Organización; Adquisición e Implementación; Entrega y Soporte; Monitoreo). Esta adopción implícita de COBIT brindó un marco estructurado: desde entonces, los auditores internos y externos en el sector público utilizan habitualmente COBIT como referente para evaluar la madurez de procesos de TI y verificar controles. En 2019, ISACA actualizó el marco a COBIT 2019, versión que introduce principios y componentes más flexibles para crear un “sistema de gobierno” integral. COBIT 2019 sigue siendo estudiado y aplicado en Costa Rica, especialmente por profesionales de auditoría, seguridad y riesgo TI. Aunque COBIT no es una norma legal obligatoria por sí misma, la Contraloría General fomenta su adopción al considerarlo un referente de buenas prácticas: implementar COBIT ayuda a evidenciar un buen gobierno de TI, lo cual facilita el cumplimiento normativo ante entes fiscalizadores como la CGR o reguladores financieros. En síntesis, COBIT provee el modelo de control sobre el cual las instituciones construyen su Gobierno de TI: define qué se debe controlar y medir (ej. valor, riesgo, recursos), dejando a cada entidad la decisión de cómo implementarlo.

ITIL (Information Technology Infrastructure Library): Es un marco de buenas prácticas para la gestión de servicios de TI. Complementa a COBIT enfocándose en los procesos operativos que permiten brindar servicios de TI de calidad (mesas de servicio, gestión de incidentes, problemas, cambios, niveles de servicio, etc.). En Costa Rica, ITIL se ha convertido en un estándar de facto en las áreas de TI: muchas instituciones públicas han implementado procesos basados en ITIL desde hace más de una década. Por ejemplo, las empresas estatales de tecnología y telecomunicaciones –como el ICE–, la Caja Costarricense de Seguro Social y bancos públicos reportan adopción de ITIL desde hace más de diez años. Inicialmente se aplicó ITIL v3, y en años recientes varias organizaciones han migrado o están migrando a ITIL 4, la versión más reciente, que incorpora enfoques ágiles, integración continua y una visión de ciclo de vida de servicios más holística. En la práctica del sector público costarricense, ITIL se manifiesta en la formalización de mesas de ayuda, catálogos de servicios, flujos de atención de incidentes y solicitudes, gestión de cambios controlada, administración de configuraciones, entre otros. Estos procesos basados en ITIL han ayudado a profesionalizar la entrega de servicios de TI, reduciendo improvisación y tiempos de respuesta. Además, ITIL apoya la seguridad de la información: por ejemplo, al establecer un proceso robusto de gestión de incidentes TI, se complementa la respuesta a incidentes de seguridad (ISO 27001/NIST) asegurando que los eventos se atiendan de forma oportuna y documentada.

Sinergia COBIT-ITIL: Ambos marcos se consideran complementarios. COBIT establece el qué se requiere para un buen gobierno (p.ej., “asegurar entrega de valor”, “optimizar riesgos”), mientras ITIL proporciona el cómo en la operación diaria de TI para lograrlo (p.ej., un proceso de gestión de cambios para minimizar riesgos operativos, o un proceso de gestión de niveles de servicio para asegurar valor al usuario). La directriz de la CGR no obliga a adoptar una metodología específica, pero en la práctica COBIT e ITIL en instituciones públicas se han convertido en referentes implícitos para cumplir con los lineamientos. Muchas entidades han capacitado a su personal en certificaciones COBIT e ITIL, formando equipos capaces de implementar mejoras continuas en procesos de TI. Además, la presencia de capítulos locales de asociaciones profesionales (ISACA, itSMF) ha facilitado la difusión de estos marcos en la administración pública. En resumen, COBIT 2019 e ITIL 4 constituyen la columna vertebral de las estrategias de Gobierno de TI impulsadas por la CGR: COBIT aporta el gobierno y control, e ITIL la gestión eficiente de servicios, ambos alineados con estándares internacionales de calidad y con la búsqueda de excelencia en el sector público.

Estado de avance en la implementación (2021-2025)

A partir de la resolución R-DC-17-2020 y la exigencia de marcos de Gobierno de TI institucionales, el sector público costarricense ha mostrado un progreso heterogéneo en la adopción de COBIT e ITIL. Algunas organizaciones pioneras ya contaban con prácticas maduras, mientras que otras han debido empezar casi desde cero a formalizar su gestión de TI. A continuación, se destacan ejemplos de implementación en distintos ámbitos:

  • Universidades públicas: Las cinco universidades estatales, coordinadas por el CONARE, formaron un equipo interinstitucional en 2021 para desarrollar conjuntamente un Marco de Gobierno y Gestión de TI aplicable a todas ellas. Este esfuerzo nació en respuesta a la directriz de la CGR, buscando evitar duplicación y asegurar homogeneidad en el sector universitario. El proyecto fue liderado por la Comisión de Directores de TI (CDTIC) y culminó en el documento “Marco de Gobierno y Gestión de TI para las Universidades Públicas y el CONARE” (versión 1.1). Dicho marco establece los componentes de alto nivel que las universidades deben atender, definidos en objetivos de gobierno como alineación estratégica, optimización de riesgos, optimización de recursos, gestión eficaz de servicios de TI, mejora continua y seguridad de la información, entre otros. Cada universidad (UCR, TEC, UNA, UNED, UTN) procedió a aprobar internamente este marco adaptándolo a su realidad. Por ejemplo, la Universidad de Costa Rica (UCR) instituyó su Programa de Gobierno de TI (PGTI), con un comité rector de TI, planes estratégicos y de implementación, y herramientas de autoevaluación para medir el avance en cumplimiento del marco. Este caso de las universidades demuestra un modelo colaborativo de implementación, donde varias entidades con misiones similares comparten un marco común, facilitando el cumplimiento de la directriz de forma coordinada.
  • Ministerios y entes gubernamentales: Los ministerios e instituciones autónomas han tenido avances diversos. Un ejemplo notable es el Ministerio de Salud, que desarrolló un Marco de Gestión de Tecnologías de Información y Comunicación institucional (versión 1.0, 2021). En este documento, el Ministerio alineó sus políticas de TI con estándares como ITIL, COBIT, ISO 27001 e ISO 20000, para regir la planificación tecnológica, la seguridad de la información, la continuidad de servicios de salud digital, etc. De hecho, incluye descripciones de marcos como COBIT e ITIL en sus anexos de referencia, demostrando la adopción explícita de estas buenas prácticas en su gestión diaria. Otros ministerios grandes (Hacienda, Educación, Obras Públicas) han fortalecido sus áreas de TI creando unidades de gobierno de TI o comités de tecnología que se encargan de establecer políticas y procedimientos conforme a COBIT e ITIL. En agencias críticas, como el Instituto Costarricense de Electricidad (ICE) y la CCSS, existían desde antes de 2020 estructuras de gobierno de TI relativamente maduras –impulsadas en parte por requisitos sectoriales y por la necesidad de alta disponibilidad de servicios–. Estas entidades ya aplicaban procesos ITIL (mesa de servicio 24/7, gestión de incidentes, cambios, niveles de servicio) e incluso habían realizado evaluaciones COBIT de sus procesos para identificar brechas. La directriz de la CGR vino a consolidar esos esfuerzos aislados en un mandato común, elevando el perfil del gobierno de TI en instituciones rezagadas (por ejemplo, municipalidades pequeñas o consejos locales, donde usualmente TI era más empírico).
  • Sector financiero público: Aunque fuera del alcance directo de la CGR, vale mencionar que los bancos comerciales del Estado y otras entidades financieras públicas también han adoptado formalmente marcos de TI robustos, motivados por regulaciones específicas. Desde 2017 está vigente el Reglamento de Gestión de TI (CONASSIF 5-17) para el sector financiero, que exige gobierno de TI a nivel de junta directiva, gestión de riesgos tecnológicos y un SGSI. Este reglamento está alineado con COBIT, ITIL y estándares ISO. Como resultado, bancos como el Banco Central, Banco Nacional y otros han establecido oficinas de gobierno de TI y seguridad que cumplen tanto las normas de SUGEF como las de la CGR, generando sinergias en control interno. Esto ha servido de modelo para otras instituciones no financieras que buscan resultados similares en madurez de TI.
  • Balance general 2025: Para el año 2025, prácticamente todas las entidades fiscalizadas por la CGR cuentan ya con algún documento de marco de gobierno de TI aprobado. Sin embargo, el grado de implementación varía. Algunas instituciones han incorporado plenamente los procesos recomendados (por ejemplo, gestión de incidentes, gestión de cambios, comités de arquitectura, etc.), mientras que otras están aún fortaleciendo capacidades básicas. Un diagnóstico del MICITT de 2022 evidenció que un 43,8% de las instituciones públicas no había implementado aún autenticación de doble factor (MFA) en sus sistemas críticos, y cerca del 50% utilizaba plataformas tecnológicas obsoletas sin soporte, factores que contribuyeron a incidentes de ciberseguridad de alto impacto. Estas cifras indican que, pese a la existencia de la normativa, persisten desafíos importantes en la adopción plena de las buenas prácticas. No obstante, la tendencia es positiva: la conciencia sobre la importancia del Gobierno de TI ha aumentado tras eventos como los ciberataques de 2022, llevando a mayores inversiones en seguridad, continuidad y modernización. La Contraloría General mantiene un rol activo requiriendo en sus auditorías que las instituciones demuestren avances (planes de acción, evaluaciones de madurez, etc.), lo que ha incentivado a rezagados a acelerar la implementación.

En resumen, la implementación de COBIT e ITIL en Costa Rica (2021-2025) muestra logros significativos en múltiples sectores, con casos ejemplares como las universidades y empresas estratégicas, pero también evidencia una brecha entre entidades líderes y otras con limitaciones de recursos. El cumplimiento de la directriz de Gobierno de TI es un proceso en marcha, respaldado por un marco normativo sólido y por la creciente profesionalización del personal de TI público.

Beneficios esperados de un Gobierno de TI basado en COBIT e ITIL

La adopción de un Gobierno de TI con base en COBIT e ITIL trae consigo beneficios sustanciales para las instituciones públicas, alineados con los objetivos planteados por la CGR:

  • Alineamiento estratégico y mejora del desempeño: Un marco de gobierno de TI bien implementado asegura que los proyectos y servicios tecnológicos estén orientados a las prioridades de la institución. Esto se traduce en que las inversiones en sistemas, infraestructura y capacidades digitales generan un valor tangible para la ciudadanía (por ejemplo, mejores servicios en línea, trámites digitales más ágiles) y apoyan el cumplimiento de los planes institucionales. La alineación estrategia-TI también evita gastos superfluos en tecnología que no aportan a la misión, optimizando así el uso de los recursos públicos.
  • Optimización de la gestión de riesgos y seguridad: COBIT e ITIL instan a establecer procesos sistemáticos de gestión de riesgos tecnológicos, identificación de amenazas y controles de seguridad de la información. Las instituciones que implementan estos marcos logran una mayor resiliencia ante incidentes: cuentan con controles preventivos (copias de seguridad frecuentes, planes de contingencia, monitoreo continuo de eventos) y con procedimientos de respuesta bien definidos. Esto reduce la probabilidad de fallos catastróficos en sistemas críticos y mitiga el impacto de ciberataques, protegiendo la confidencialidad e integridad de los datos ciudadanos. A nivel de auditoría, un buen gobierno de TI permite demostrar evidencias de control, lo que redunda en menos hallazgos negativos de la CGR u otros entes reguladores.
  • Eficiencia operativa y calidad de servicios: La incorporación de las buenas prácticas de TI en el sector público costarricense trae mejoras en la eficiencia de los procesos de TI. ITIL, por ejemplo, promueve la gestión organizada de incidentes y cambios, reduciendo tiempos de inactividad y errores por implementaciones mal controladas. Los ciudadanos y usuarios internos perciben servicios más confiables y de mejor calidad: menos caídas de sistemas, tiempos de respuesta más rápidos, soporte técnico más efectivo. A su vez, COBIT impulsa la definición de indicadores de desempeño (KPIs) para TI, fomentando una cultura de medición y mejora continua. Con estos marcos, TI deja de ser un área meramente técnica para convertirse en un socio estratégico que aporta valor medible.
  • Transparencia y rendición de cuentas fortalecidas: Un beneficio clave es la formalización de la gestión de TI. Al establecer comités de gobierno de TI, políticas y procedimientos documentados, y controles auditables, se genera mayor transparencia. Las decisiones de TI (como inversiones en cierto software o priorización de proyectos) quedan registradas y justificadas en alineación con el marco definido. Esto facilita la rendición de cuentas tanto interna (hacia la Alta Administración) como externa (hacia la CGR y la ciudadanía). Por ejemplo, si se invierte en ciberseguridad, el marco de gobierno permite mostrar qué análisis de riesgo lo justificó, qué controles se implementarán y cómo se evaluará su efectividad. En suma, mejora la gobernanza al proveer trazabilidad y justificación para las actuaciones en tecnología.
  • Unificación de niveles de madurez y sinergias interinstitucionales: Desde una perspectiva país, la directriz de la CGR busca que todas las instituciones alcancen un nivel mínimo aceptable de madurez en gestión de TI. Conforme más entes adopten COBIT e ITIL, se logra una nivelación hacia arriba: incluso las entidades más pequeñas disponen de guías para gestionar TI de forma ordenada. Esto favorece la colaboración interinstitucional, ya que compartir marcos comunes permite intercambiar mejores prácticas y incluso soluciones (por ejemplo, varias instituciones pueden unificar sus service desk o sus iniciativas de capacitación en ITIL). A la larga, el Gobierno de TI establecido reduce silos y posibilita proyectos transversales de gobierno digital con mayor facilidad, al haber un lenguaje común entre las áreas de TI de distintas entidades.

Desafíos en la implementación del Gobierno de TI público

A pesar de los beneficios claros, las instituciones enfrentan desafíos importantes para implementar COBIT e ITIL de manera efectiva bajo la directriz de la CGR:

  • Resistencia al cambio y cultura organizacional: Implantar un nuevo régimen de gobierno de TI implica cambios en la forma de trabajar, documentar procesos y tomar decisiones. Es común encontrar resistencia de parte del personal o de niveles gerenciales que no están habituados a la formalidad de estos marcos. Superar esta resistencia requiere liderazgo fuerte y un proceso de gestión del cambio organizacional: las instituciones deben invertir en sensibilización y capacitación para que todos comprendan el valor de las nuevas prácticas. Experiencias como la de la UCR mostraron la utilidad de identificar a los actores clave, socializar tempranamente el proyecto, manejar objeciones y lograr quick wins que demuestren beneficios en el corto plazo.
  • Recursos limitados y capacidades técnicas: Implementar COBIT e ITIL no es trivial; exige contar con personal capacitado (auditores de TI, gestores de servicio, etc.), herramientas tecnológicas de soporte (p. ej., software de mesa de servicio, plataformas de monitoreo) y tiempo dedicado al diseño e institucionalización de procesos. Muchas entidades pequeñas o con presupuestos acotados carecen de equipos especializados en TI. Este es un reto significativo: la CGR ha recomendado que se realicen los ajustes “según el tamaño” de cada ente, pero aun así el esfuerzo mínimo puede ser alto para municipios rurales o juntas descentralizadas. Un desafío relacionado es la rotación de personal: si la gente capacitada en COBIT/ITIL sale de la institución, es difícil mantener continuidad en la implementación. Algunas instituciones están abordando esto mediante asistencia técnica compartida (p.ej., convenios con el MICITT o con universidades públicas para apoyo en gobierno de TI) y formación continua del talento humano existente.
  • Heterogeneidad de plataformas y datos legados: El sector público costarricense presenta un mosaico de sistemas heredados y plataformas diversas entre instituciones. Aplicar buenas prácticas de forma consistente se dificulta cuando existen sistemas obsoletos o silos de información. Por ejemplo, establecer una gestión de cambios estándar es complejo si cada unidad tiene aplicaciones antiguas sin documentación o contratos de mantenimiento vigentes. La modernización tecnológica es entonces un prerequisito en ciertos casos para poder cumplir plenamente con COBIT e ITIL. La integración de herramientas (por ejemplo, tener un solo repositorio de gestión de incidentes para toda la institución) suele requerir inversión y proyectos específicos. Este desafío técnico va de la mano con la priorización: muchas entidades han debido priorizar qué procesos de ITIL implementar primero o qué dominios de COBIT abordar, de acuerdo con sus dolores más apremiantes, lo que significa que la implementación es gradual y toma varios años.
  • Medición de avances y mantenimiento del impulso: Implantar el Gobierno de TI no es un evento único sino un proceso continuo. Un reto es cómo medir el progreso de forma objetiva y mantener el compromiso de la alta gerencia en el tiempo. Si bien la CGR exige informes de avances y las auditorías evalúan el cumplimiento, puede surgir la tentación de algunas organizaciones de tratar el tema como un mero trámite burocrático y no darle vida más allá del papel. La falta de indicadores claros de éxito dificulta evaluar el impacto real (¿ha mejorado realmente la prestación de servicios digitales?, ¿se redujeron incidentes de seguridad?, etc.). Para enfrentar esto, se recomienda establecer benchmarks de madurez (por ejemplo, usando la escala de COBIT para gobierno de TI) e implementar revisiones periódicas (auditorías internas anuales de TI, evaluaciones independientes) que retroalimenten el proceso. No obstante, inculcar una cultura de mejora continua sigue siendo un desafío: requiere perseverancia y evitar la complacencia una vez cumplido lo básico.
  • Coordinación interinstitucional y apoyo central: Aunque cada institución tiene autonomía para su marco, muchas prácticas de TI trascienden a nivel nacional (piénsese en ciberseguridad, interoperabilidad de datos, servicios compartidos). Un desafío es lograr la coherencia entre marcos de distintas instituciones y que exista guía central cuando sea necesaria. El MICITT, como ente rector, ha emitido lineamientos generales y brinda asesoría, pero todavía se consolidan mecanismos de coordinación (salvo en sectores específicos como el financiero o el de salud). La falta de un ente unificado de gobierno digital (más allá de la labor normativa del MICITT) puede ser un obstáculo para resolver problemas comunes, por ejemplo, crear soluciones compartidas de gestión de identidades, o centros de excelencia en ITIL. La Estrategia de Transformación Digital menciona la creación del Código Nacional de Tecnologías Digitales, que podría solventar esto al emitir políticas unificadas, pero su implementación práctica está en desarrollo.

En síntesis, los desafíos de implementar COBIT e ITIL en instituciones públicas de Costa Rica van desde la gestión del factor humano hasta limitaciones estructurales y técnicas. Superarlos requiere un enfoque estratégico y apoyo continuo de los niveles políticos y administrativos más altos. Cada institución debe abordar su plan de mejora como un traje a la medida, compartiendo experiencias con sus pares y aprovechando el marco normativo como impulsor de cambio, no solo como requisito de cumplimiento.

Recomendaciones de mejores prácticas para un Gobierno de TI exitoso

A la luz de la experiencia acumulada y de los lineamientos internacionales, se pueden formular varias mejores prácticas para implementar con éxito un Gobierno de TI basado en COBIT e ITIL en el sector público costarricense:

  • Compromiso de la alta dirección: Asegurar el apoyo explícito de los jerarcas y altos ejecutivos desde el inicio. Es vital que la dirección reconozca el Gobierno de TI como prioridad estratégica y asigne recursos adecuados. Se recomienda formalizar un “patrocinador” ejecutivo (por ejemplo, el Gerente o Director de TI en conjunto con un Viceministro o gerente de área) que impulse el proyecto y reporte avances al máximo nivel. Cuando la alta administración lidera con el ejemplo, el resto de la organización comprende la seriedad del esfuerzo.
  • Establecer una estructura de gobierno clara: Crear instancias formales como un Comité de Gobierno de TI o Comité de Tecnologías, donde participen representantes de las áreas sustantivas, de planificación y de TI. Este comité debe encargarse de definir la visión y políticas de TI, priorizar iniciativas y dar seguimiento a la ejecución del marco. Asimismo, definir roles y responsabilidades específicas: quién es el Chief Information Officer (CIO) o equivalente, quién coordina gestión de seguridad, quién maneja riesgos de TI, etc. Una estructura bien definida evita lagunas de control. En la UCR, por ejemplo, se conformó un comité con participación de vicerrectores, dirección de planificación y unidades técnicas para guiar el programa de Gobierno de TI.
  • Adaptación del marco a la medida de la institución: utilizar COBIT, ITIL y demás estándares como guías flexibles, no recetas rígidas. Cada institución debe realizar un diagnóstico inicial (¿Dónde estamos hoy?), identificar brechas frente a las mejores prácticas y luego priorizar qué procesos implementar primero. Es recomendable enfocarse en las “victorias rápidas” que ofrezcan valor inmediato (por ejemplo, establecer un registro central de activos de TI, o implementar una mesa de servicio básica) e ir progresando hacia procesos más maduros. La guía de implementación desarrollada para las universidades públicas sugiere fases de mejora continua (evaluar estado actual, definir estado deseado, implementar mejoras, verificar beneficios), lo cual es aplicable a cualquier institución. Además, se debe considerar el tamaño y capacidad: en entidades pequeñas tal vez sea suficiente un comité de TI más sencillo y procedimientos menos complejos, mientras que en una institución grande se pueden adoptar todos los procesos con mayor profundidad. No todas las buenas prácticas aplican igual para todos, por lo que la clave es adaptar sin perder el alineamiento con los principios de COBIT/ITIL.
  • Capacitación y gestión del talento humano: Invertir en desarrollar las habilidades del personal de TI y de otras áreas involucradas. La certificación y entrenamiento en COBIT 2019, ITIL 4, ISO 27001, gestión de proyectos (PMI) y otras disciplinas relevantes debe ser parte del plan de implementación. Además, se debe sensibilizar al personal no técnico (jefaturas administrativas, usuarios finales) acerca de los nuevos procesos y sus roles en ellos. Por ejemplo, capacitar a los dueños de procesos sobre cómo registrar incidencias o solicitar cambios correctamente. Una cultura de buenas prácticas TI solo se consolida cuando todas las partes entienden los beneficios y procedimientos. La gestión del cambio organizacional aquí es fundamental: comunicar claramente la visión (por qué se hace), proveer entrenamiento práctico (cómo se hace) y reforzar con incentivos o reconocimiento a quienes adopten las nuevas formas de trabajo.
  • Herramientas y automatización: Apoyarse en software y herramientas especializadas para facilitar la implementación de los marcos. Por ejemplo, usar una herramienta de Service Desk conforme a ITIL para gestionar incidentes y requerimientos, implantar soluciones de monitoreo y generación de reportes de TI para alimentar indicadores COBIT, o emplear repositorios documentales para centralizar políticas, procedimientos y evidencias. Muchas buenas prácticas pueden automatizarse en gran medida, reduciendo la carga administrativa y asegurando consistencia. Si bien implica inversión, existen alternativas de software libre para la gestión de TI (herramientas open source ITSM, monitoreo, etc.) que pueden evaluarse para disminuir costos. Lo importante es que la tecnología acompañe al proceso: por ejemplo, implementar una base de conocimientos o portal de autoservicio para los usuarios mejora el cumplimiento de los procesos ITIL y la satisfacción de los clientes internos.
  • Monitoreo, medición y mejora continua: Definir métricas clave (KPIs) alineadas con los objetivos del Gobierno de TI (ej.: porcentaje de proyectos de TI alineados al plan estratégico, tiempo promedio de resolución de incidentes, % de cumplimiento de acuerdos de nivel de servicio, madurez COBIT alcanzada en ciertos dominios, etc.). Establecer cuadros de mando o reportes periódicos que se presenten al Comité de TI y a la alta administración. Este seguimiento permite ver tendencias, identificar cuellos de botella y tomar acciones correctivas oportunas. Adicionalmente, programar evaluaciones independientes: las auditorías internas deben incluir en su plan anual revisiones al Gobierno de TI, y se pueden realizar autoevaluaciones formales usando cuestionarios basados en COBIT (varias instituciones han utilizado templates de ISACA para medir su progreso). La CGR ha proporcionado también herramientas de autoevaluación, como guías de control interno TI, que conviene utilizar proactivamente en lugar de esperar una auditoría sorpresiva. En resumen, adoptar la filosofía PDCA (Planear-Hacer-Verificar-Actuar): una vez implementado un proceso, medir su efectividad, ajustarlo según resultados y nunca dar por “terminado” el esfuerzo de mejora.
  • Compartir mejores prácticas y lecciones aprendidas: Fomentar la creación de comunidades de práctica entre las instituciones públicas. Como se vio con las universidades, el trabajo conjunto rindió frutos al compartir cargas y conocimiento. Similarmente, ministerios o municipalidades con menos experiencia podrían buscar mentoría o asesoría en aquellas entidades más avanzadas. El MICITT y la CGR pueden servir como canales para difundir casos de éxito (por ejemplo, publicar guías, casos prácticos locales, o celebrar foros de Gobierno de TI). La colaboración interinstitucional ayuda a homogenizar criterios y encontrar soluciones estándar a problemas comunes. Un ejemplo de esto es el Comité de CIOs gubernamentales que se ha intentado impulsar: un espacio donde los directores de TI del sector público discuten estándares, políticas de seguridad, etc. Formalizar y potenciar estos espacios contribuirá a elevar el nivel general de madurez, reducir costos duplicados y generar sinergias en proyectos tecnológicos de alcance nacional.

En conclusión, la directriz de la Contraloría General de la República de Costa Rica ha sido un catalizador para que las instituciones públicas abracen un Gobierno de TI basado en buenas prácticas (COBIT, ITIL), reconociéndolo como pilar para la modernización del Estado. Si bien los retos son considerables, los beneficios en eficiencia, transparencia y resiliencia tecnológica justifican plenamente el esfuerzo. Con liderazgo, adaptación inteligente de los marcos y una visión de mejora continua, el sector público costarricense está sentando las bases de una gobernanza digital robusta que redundará en mejores servicios y mayor confianza de la ciudadanía en la era digital.

Referencias

  • Contraloría General de la República (CGR). (2007). Resolución R-CO-26-2007 – Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE). La Gaceta Nº 119, 21 de junio de 2007. Recuperado de www.cgr.go.cr (Sitio oficial de la CGR).
  • Contraloría General de la República (CGR). (2020). Resolución R-DC-17-2020 – Derogatoria de las Normas Técnicas para la gestión y el control de las TI de 2007 y modificación a las Normas de Control Interno. La Gaceta Nº 62, 27 de marzo de 2020. Recuperado de https://archivonacional.go.cr/.../resolucion_RDC_17_2020.docx  (Archivo Nacional de Costa Rica).
  • MICITT. (2022). Marco Normativo de Gobierno y Gestión de las Tecnologías de Información (Versión 2.0, 2022). San José, C.R.: Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones. Recuperado de https://micitt.go.cr/.../MICITT-Marco-Normativo-Gobierno-y-Gestion-TI-v2-2022.pdf  (documento oficial).
  • Universidad de Costa Rica (CONARE). (2021). Marco de Gobierno y Gestión de TI para las Universidades Públicas y CONARE (Versión 1.1). San José, C.R.: Comisión de Directores de TI (CDTIC). Recuperado de https://mggti.ucr.ac.cr/.../Marco_Gobierno_gestion_TI_UCR_v1.pdf  (sitio oficial MGGTI-UCR).
  • Solano Segura, A. (2025). Normativas y Estándares de Tecnologías de la Información en Costa Rica: Guía completa para empresas e instituciones. DOS | Tecnología y Negocios+. Recuperado de https://www.dostecnologiaynegocios.com/2025/05/normativas-y-estandares-de-tecnologias.html  (análisis actualizado sobre marco regulatorio TI en Costa Rica).
  • Ministerio de Salud de Costa Rica. (2021). Marco de Gestión de Tecnologías de Información y Comunicación – Ministerio de Salud, Versión 1.0. San José, C.R.: Departamento TIC, Ministerio de Salud. (Documento interno obtenido del sitio oficial del Ministerio de Salud).

 

ITIL and COBIT in Public Institutions: Mandatory Regulation by the General Comptroller of the Republic of Costa Rica?

Abstract: 

In Costa Rica, the General Comptroller of the Republic (CGR) requires all public institutions to establish a formal IT governance and management framework as part of their internal control system. While the use of COBIT and ITIL is not legally mandatory, these internationally recognized frameworks are recommended best practices that most institutions adopt to meet regulatory requirements. The original 2007 technical standards (R-CO-26-2007), now repealed, were inspired by COBIT and ITIL principles. Since 2020, under resolution R-DC-17-2020, public entities must define and formalize their own IT governance model, aligned with Costa Rica’s internal control norms (N-2-2009-CO-DFOE). COBIT and ITIL continue to serve as key references for achieving effective IT governance in the public sector.

Comentarios

Publicar un comentario

Lo más leído

¿Cómo Está Transformando la Inteligencia Artificial la Educación Universitaria en Costa Rica?

-
Imagen
  Por: Alonso Solano Segura La irrupción de herramientas de inteligencia artificial (IA) generativa como ChatGPT a finales de 2022 ha transformado rápidamente diversos ámbitos, incluyendo la educación superior. En Costa Rica, las universidades y docentes se han visto obligados a reflexionar sobre cómo estas herramientas afectan el aprendizaje y la integridad académica. Mientras que algunos educadores advierten sobre riesgos como el plagio y la desinformación, otros ven en la IA una oportunidad para personalizar la enseñanza y mejorar la eficiencia. Este informe explora los efectos positivos y negativos del uso de la IA por parte de estudiantes universitarios primero en el contexto costarricense con fuentes recientes (debido al tan cambiante curso de la IA) desde 2023, y luego complementando con perspectivas internacionales. Asimismo, se identifican estrategias prácticas para docentes que permitan maximizar los beneficios de la IA en el aprendizaje y mitigar sus efectos adversos. ...
Leer más

Normativas y Estándares de Tecnologías de la Información en Costa Rica: Guía Completa para Empresas e Instituciones

-
Imagen
Normativas y Estándares de TI y Seguridad de la Información en Costa Rica Por: Alonso Solano Segura.   La protección de la información y la ciberseguridad se han convertido en una prioridad nacional en Costa Rica, especialmente a raíz de incidentes recientes. En 2022 el país sufrió ciberataques de gran impacto (ej. ransomware dirigido a entidades gubernamentales), al punto que el gobierno declaró un estado de emergencia nacional en ciberseguridad. Como respuesta, Costa Rica ha consolidado un marco integral de normativas, estándares, protocolos, controles y marcos de trabajo enfocado en las tecnologías de la información (TI) y la seguridad de la información. Este marco combina leyes y reglamentos nacionales con la adopción de estándares internacionales (ISO 27000, NIST, COBIT, ITIL, entre otros), además de políticas públicas sectoriales emitidas por entidades como el MICITT, SUTEL, ARESEP, Poder Judicial, reguladores financieros, entre otros. A continuación, se pre...
Leer más