Intro

COBIT 5


Un par de temas que se asocian frecuentemente con los Sistemas de Gestión de Seguridad de la Información son Cobit e ITIL. Por esta razón, voy a realizar una entrada independiente para cada uno de ellos, iniciando con Cobit.

Que es Cobit? Su sigla en ingles se refiere a Control Objectives for Information and Related Technology y es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las Tecnologías de la Información (ITGI) en 1992.

Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de Cobit.

El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan. Cobit permite entender como dirigir y gestionar el uso de tales sistemas así como establecer un codigo de buenas practicas a ser utilizado por los proveedores de sistemas. Cobit suministra las herramientas para supervisar todas las actividades relacionadas con IT.
Veamos que ventajas ofrece Cobit:
  • Cobit es un marco de referencia aceptado mundialmente de gobierno IT basado en estándares y mejores prácticas de la industria. Una vez implementado, es posible asegurarse de que IT se encuentra efectivamente alineado con las metas del negocio, y orientar su uso para obtener ventajas competitivas.
  • Suministra un lenguaje común que le permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales.
  • Proporciona las mejores prácticas y herramientas para monitorear y gestionar las actividades de IT. El uso de sistemas usualmente requiere de una inversión que necesita ser adecuadamente gestionada.
  • Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través de sus ciclo de vida, así como también proporcionándoles métodos para asegurarse que IT entregara los beneficios esperados.
La diferencia entre compañías que gestionan adecuadamente sus recursos IT y las que no es enorme. Cobit permite el desarrollo de políticas claras y buenas prácticas para la gestión de IT. Su marco de referencia permite gestionar los riesgos de IT y asegurar el cumplimiento, la continuidad, seguridad y privacidad.

Al ser Cobit reconocida y aceptada internacionalmente como una herramienta de gestión, su implementación es un indicativo de la seriedad de una organización. Ayuda a Empresas y profesionales de IT a demostrar su competitividad ante las demás compañías. Así como existen procesos genéricos de muchos tipos de negocios, existen estándares y buenas practicas específicos para IT que deben seguirse por las compañías cuando se soportan en IT, en donde Cobit agrupa tales estándares y entrega un marco de referencia para su implementación y gestión.

Una vez se identifican e implementan los principios relevantes de Cobit para una compañía, se obtiene plena confianza en que todos los recursos de sistemas estan siendo gestionados efectivamente.

Que resultados se obtienen al implementar Cobit? Veamos:
  • El ciclo de vida de costos de IT será mas transparente y predecible.
  • IT entregara información de mayor calidad y en menor tiempo.
  • IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT serán mas exitosos.
  • Los requerimientos de seguridad y privacidad serán más fácilmente identificados, y su implementación podrá ser mas fácilmente monitoreada.
  • Todos los riesgos asociados a IT serán gestionados con mayor efectividad.
  • El cumplimiento de regulaciones relacionadas a IT serán una práctica normal dentro de su gestión.
El marco de referencia Cobit en su versión 4 (a Julio de 2010), incluye lo siguiente:
  • Marco de referencia: explica como Cobit organiza la Gestión de IT, los objetivos de control y buenas practicas del negocio por dominios y procesos de IT, relacionándolos directamente con los requerimientos del negocio. Este marco de referencia contiene un total de 34 niveles de objetivos de control, uno por cada proceso de IT, agrupados en cuatro dominios: Planeamiento y Organización, Adquisición e Implementación, Desarrollo y Soporte y Monitoreo y Evaluación (Que tal la coincidencia con el ciclo PHVA de las Normas ISO?)
  • Descripción de procesos: Incluida para cada uno de los 34 procesos de IT, cubriendo todas las áreas y responsabilidades de IT de principio a fin.
  • Objetivos de Control: Suministra objetivos de gestión basados en las mejores prácticas para los procesos de IT.
  • Directrices de Gestión: Incluye herramientas para ayudar a asignar responsabilidades y medir desempeños.
  • Modelos de madurez: proporciona perfiles de los procesos de IT describiendo para cada uno de ellos un estados actual y uno futuro.
Cobit 5:
Programado para salir en el 2011, Cobit 5 consolidara los marcos de referencia de Cobit 4.1, Val IT 2.0 (inversiones en TI) y riesgos en IT, aprovechando también el modelo de negocio de Seguridad de la Información (IMC) y ITAF.