COBIT
Versiones de COBIT
COBIT 1 “Objetivos de Control para la Información y Tecnologías Relacionadas”
Publicada en 1,996 y e s un conjunto de herramientas de soporte que permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos de control, problemas técnicos y los riesgos del negocio.
Este marco provee buenas prácticas y presenta actividades para el Gobierno de TI en una estructura manejable y lógica.
Misión de COBIT
Su misión es Investigar, desarrollar, publicar y promover un conjunto de objetivos de control generalmente aceptados, autorizados y actualizados por ISACA para ser utilizados en el día a día por la gerencia del negocio, los profesionales de TI y de la seguridad. Se definen también procesos, metas y métricas para el control.
Ilustración 1. Procesos y metas para el control
COBIT 2. Su enfoque es el control
Publicada en 1998, en esta versión se adicionaron las guías de gestión. Surge debido a los retos que los que se debían hacer frente en una auditoría de sistemas.
COBIT 3 Su enfoque es la administración
Publicada en el año 2000, Sin embargo fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para:
- Soportar el incremento del control gerencial
- introducir el manejo del desempeño y mayor desarrollo del Gobierno de TI.
COBIT 4 Se enfoca en el Gobierno
En diciembre de 2005, la cuarta edición fue publicada y en Mayo de 2007 y se publicó la versión 4.1.
Ilustración 2. Variaciones entre COBIT 4 Y COBIT 5
COBIT 5.
Publicada en el año 2012. Consolida e integra los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la Información (BMIS, Business Model for Information Security) y el Marco de Referencia para el Aseguramiento de la Tecnología de la Información (ITAF, Information Technology Assurance Framework).
El Marco de Referencia de COBIT 4.1, está conformado por 34 Objetivos de Control de alto nivel, todos diseñados para cada uno de los Procesos de TI, los cuales están agrupados en cuatro grandes secciones mejor conocidos como dominios, estos se equiparán a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear.
- Planificación y Organización, proporciona la dirección para la entrega de soluciones y la entrega de servicios.
- Adquisición e Implementación, proporciona soluciones y las desarrolla para convertirlas en servicios.
- Entrega de servicios, recibe soluciones y las hace utilizables para los usuarios finales.
- Soporte y Monitorización, monitorea todos los procesos para asegurar que se sigue con la dirección establecida.
Ilustración 3. Principios COBIT 5
Dominios COBIT
Dominio Planear y Organizar (PO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es importante mencionar que la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas; y finalmente, la implementación de una estructura organizacional y tecnológica apropiada.
La gerencia espera cubrir la alineación de la estrategia de TI con el negocio, optimizar el uso de recursos, el entendimiento de los objetivos de TI por parte de la organización, la administración de riesgos y calidad en los sistemas de TI para las necesidades del negocio.
b. Dominio Adquirir e Implementar (AI)
Con el fin de cumplir una estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, como también implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes serán cubiertos para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen soluciones que satisfagan las necesidades del negocio, que sean entregados en tiempo y dentro del presupuesto, que los nuevos sistemas una vez implementados trabajen adecuadamente y que los cambios no afecten las operaciones actuales del negocio.
c. Dominio Entregar y Dar Soporte (DS)
Involucra la entrega en sí de los servicios requeridos, incluyendo la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte a los usuarios del servicio, la administración de los datos y de las instalaciones operativas.
El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del negocio, la optimización de costos, asegurar que la fuerza de trabajo utilice los sistemas de modo productivo y seguro, implantar de forma correcta la confidencialidad, la integridad y la disponibilidad.
d. Dominio Monitorear y Evaluar (ME)
La totalidad de los procesos de TI deben de ser evaluados regularmente en el tiempo, para conocer su calidad y cumplimiento de los requerimientos de control.
Este dominio incluye la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
Con esto se obtendrá de manera oportuna la detección de problemas por medio de la medición del desempeño, se garantiza que los controles internos sean efectivos y eficientes, la vinculación del desempeño de TI con las metas del negocio así como la medición y reporte de riesgos, además del control, cumplimiento y desempeño.
Otro concepto cLave de COBIT, es la determinación y la mejora sistemática de la madurez del proceso, el cual tiene 7 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI:
Niveles de COBIT
0 - Inexistente: No existe información alguna, no se tiene conocimiento sobre el gobierno de TI.
1 - Inicial / ad hoc: En el proceso existen tareas indefinidas, pero hay confianza en la iniciativa.
2 - Repetible pero intuitivo: El proceso cuenta con personal de calidad y tareas definidas.
3 - Definido: Proceso definido e institucionalizado, cuenta con política, estándares y procedimiento establecidos.
4 - Gestionable y medible: El proceso tiene estructuras de control completas y análisis del desempeño.
5 - Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otra empresas.
Ilustración 4. Cubo de COBIT
Ilustración 5. Versiones COBIT
COSO
Coso I. “Componentes del control Interno
Sus componentes son:
- Ambiente de Control
- Evaluación de Riesgos
- Actividades de Control
- Información y Comunicación
- Supervisión.
Ilustración 6. Componentes
Coso II. ERM Administración de Riesgos de la Empresa
Este modelo de coso considera lo siguientes
- El establecimiento de objetivos
- Identificación de riesgo
- Respuesta a los riesgos
Ilustración 7 Relación Coso I y Coso II
Estructura
Los 8 componentes del coso II están interrelacionados entre sí. Estos procesos deben ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización
Los 8 componentes están alineados con los 4 objetivos. Donde se consideran las actividades en todos los niveles de la organización.
ISO
La Organización Internacional de Normalización (originalmente en inglés: International Organization for Standardization, conocida por las siglas ISO) es una organización para la creación de estándares internacionales compuesta por diversas organizaciones nacionales de estandarización.
ISO 27000
Establece estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.
Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
ISO 27001
Establece el marco de trabajo para definir un SGSI, centrándose en la visión de la gestión de la seguridad como un proceso continuo en el tiempo. Para certificar un proceso u organización es necesario analizar y gestionar los riesgos fundamentales a los que están expuestos.
Una vez se han identificado estos riesgos, es necesario establecer la estrategia a seguir para cada uno de ellos. En este sentido, las diferentes alternativas que tenemos para cada riesgo son:
- Evitar el riesgo, abandonando el proceso o actividad que lo genera cuando el riesgo exceda a los beneficios que nos aporta.
- Traspasar el riesgo a terceros, por ejemplo, mediante cláusulas contractuales o pólizas de seguros.
- Gestionar el riesgo, estableciendo contramedidas que mitiguen o limiten el riesgo, reduciendo la probabilidad de que se materialicen las consecuencias que de éste se puedan derivar.
- Asumir el riesgo, aceptándolo cuando el establecimiento de las contramedidas supere el coste que pueda suponer la materialización del propio riesgo.
ISO 27002
Consiste en una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones.
Éstos se hallan distribuidos en diferentes dominios que abarcan de una forma integral todos los aspectos que han de ser tenidos en cuenta por las organizaciones.
Dominios
Estos dominios que estructura la ISO 27002 son:
- La política de seguridad.
- Los aspectos organizativos de la seguridad de la información.
- La gestión de activos.
- La seguridad ligada a los recursos humanos.
- La seguridad física y ambiental.
- La gestión de las comunicaciones y de las operaciones.
- Los controles de acceso a la información.
- La adquisición, desarrollo y mantenimiento de los sistemas de información.
- La gestión de incidentes en la seguridad de la información.
- La gestión de la continuidad del negocio.
- Los aspectos de cumplimiento legal y normativo.
