Cobit, estndar para el buen gobierno de los Sistemas

de Informacin
El estndar Cobit (Control Objectives for Information and related Technology) ofrece
un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de
las organizaciones.
El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre
puntos en los que establecer controles internos con tal de:

Asegurar el buen gobierno, protegiendo los intereses de los stakeholders

(clientes, accionistas, empleados, etc.)
Garantizar el cumplimiento normativo del sector al que pertenezca la
organizacin
Mejorar la eficacia i eficiencia de los procesos y actividades de la organizacin
Garantizar la confidencialidad, integridad y disponibilidad de la informacin

El estndard define el trmino control como: Polticas, procedimientos, prcticas y

estructuras organizacionales diseadas para proveer aseguramiento razonable de que se
lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos
no deseables
Por tanto, la definicin abarca desde aspectos organizativos (p.ej. flujo para pedir
autorizacin a determinada informacin, procedimiento para reportar incidencias,
seleccin de proveedores, etc.) hasta aspectos ms tecnolgicos y automticos (p.ej.
control de acceso a los sistemas, monitorizacin de los sistemas mediante herramientas
automatizadas, etc.).
Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de
control es un propsito o resultado deseable como por ejemplo: garantizar la
continuidad de las operaciones ante situaciones de contingencias.
En consecuencia, para cada objetivo de control de nuestra organizacin podremos
implementar uno o varios controles (p.ej. ejecucin de copias de seguridad peridicas,
traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la
obtencin del resultado deseable (p.ej. continuidad de las operaciones en caso de
contingencias).
Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero creo
que muestran de forma prctica las diferentes definiciones.
Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la
Informacin en 4 dominios:

Planificacin y Organizacin
Adquisicin e Implementacin
Entrega y Soporte
Supervisin y Evaluacin

En definitiva, cada dominio contiene procesos de negocio (desglosables en actividades)

para los cuales se pueden establecer objetivos de control e implementar controles
organizativos o automatizados:

Por otra parte, la organizacin dispone de recursos (aplicaciones, informacin,

infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos
del negocio:

Efectividad (cumplimiento de objetivos)

Eficiencia (consecucin de los objetivos con el mximo aprovechamiento de los
recursos)
Confidencialidad
Integridad
Disponibilidad
Cumplimiento regulatorio
Fiabilidad

Cabe destacar que, Cobit tambin ofrece mecanismos para la medicin de las
capacidades de los procesos con objeto de conseguir una mejora continua. Para ello,
proporciona indicaciones para valorar la madurez en funcin de la misma clasificacin
utilizada por estndares como ISO 15504:

Nivel 0 - Proceso incompleto: El proceso no existe o no cumple con los

objetivos
Nivel 1 - Proceso ejecutado
Nivel 2 - Proceso gestionado: el proceso no solo se encuentra en
funcionamiento, sino que es planificado, monitorizado y ajustado.
Nivel 3 - Proceso definido: el proceso, los recursos, los roles y responsabilidades
se encuentran documentados y formalizado.
Nivel 4 - Proceso predecible: se han definido tcnicas de medicin de resultados
y controles.
Nivel 5 - Proceso optimizado: todos los cambios son verificados para determinar
el impacto, se han definido mecanismos para la mejora continua, etc.

En general, gran parte de los puntos que se exponen a continuacin pueden ser
mapeados a los controles definidos en el estndar ISO 27002.

I.

Planificacin y Organizacin

La direccin de la organizacin debe implicarse en la definicin de la estrategia a seguir

en el mbito de los sistemas de informacin, de forma que sea posible proporcionar los
servicios que requieran las diferentes reas de negocio. Para ello, Cobit presenta 10
procesos:

PO1 - Definicin de un plan estratgico: gestin del valor, alineacin con las
necesidades del negocio, planes estratgicos y tcticos.
P02 - Definicin de la arquitectura de informacin: modelo de arquitectura,
diccionario de datos, clasificacin de la informacin, gestin de la integridad.
P03 - Determinar las directrices tecnolgicas: anlisis de tecnologas
emergentes, monitorizar tendencias y regulaciones.

P04 - Definicin de procesos IT, organizacin y relaciones: anlisis de los

procesos, comits, estructura organizativa, responsabilidades, propietarios de la
informacin, supervisin, segregacin de funciones, polticas de contratacin.
P05 - Gestin de la inversin en tecnologa: gestin financiera, priorizacin de
proyectos, presupuestos, gestin de los costes y beneficios.
P06 - Gestin de la comunicacin: polticas y procedimientos, concienciacin de
usuarios.
P07 - Gestin de los recursos humanos de las tecnologas de la informacin:
contratacin, competencias del personal, roles, planes de formacin, evaluacin
del desempeo de los empleados.
P08 - Gestin de la calidad: mejora continua, orientacin al cliente, sistemas de
medicin y monitorizacin de la calidad, estndares de desarrollo y adquisicin.
P09 - Validacin y gestin del riesgo de las tecnologas de la informacin
P10 - Gestin de proyectos: planificacin, definicin de alcance, asignacin de
recursos, etc.

Podemos encontrar puntos de conexin con otros estndares y marcos de trabajo que
nos pueden servir de soporte:
Cobit

Relacionado

P04 - Definicin de procesos IT, organizacin

Procesos segn ISO
y relaciones
P05 - Gestin de la inversin en tecnologa

Val IT y VMM (Value Measuring

Methodology)

P08 - Gestin de la calidad

ISO 9000

P09 - Validacin y gestin del riesgo de las

tecnologas de la informacin

BS 7799-3 (Guidelines for information

security risk management)

P10 - Gestin de proyectos

PMBok y PRINCE2

II.

Adquisicin e Implementacin

Con el objeto de garantizar que las adquisiciones de aplicaciones comerciales, el

desarrollo de herramientas a medida y su posterior mantenimiento se encuentre alineado
con las necesidades del negocio, el estndar Cobit define los siguientes 7 procesos:

AI1 - Identificacin de soluciones: anlisis funcional y tcnico, anlisis del

riesgo, estudio de la viabilidad.
AI2 - Adquisicin y mantenimiento de aplicaciones: Diseo, controles sobre la
seguridad, desarrollo, configuracin, verificacin de la calidad, mantenimiento.
AI3 - Adquisicin y mantenimiento de la infraestructura tecnolgica: Plan de
infraestructuras, controles de proteccin y disponibilidad, mantenimiento.
AI4 - Facilidad de uso: Formacin a gerencia, usuarios, operadores y personal de
soporte.
AI5 - Obtencin de recursos tecnolgicos: control y asignacin los recursos
disponibles, gestin de contratos con proveedores, procedimientos de seleccin
de proveedores.
AI6 - Gestin de cambios: Procedimientos de solicitud/autorizacin de cambios,
verificacin del impacto y priorizacin, cambios de emergencia, seguimiento de
los cambios, actualizacin de documentos.

AI7 - Instalacin y acreditacin de soluciones y cambios: Formacin, pruebas

tcnicas y de usuario, conversiones de datos, test de aceptacin por el cliente,
traspaso a produccin.

Es posible identificar relaciones entre los procesos de este apartado con los presentados
por el estndar ISO 12207:
Cobit
AI1 - Identificacin de soluciones

ISO 12207
5.1 Adquisicin

AI2 - Adquisicin y mantenimiento 5.1 Adquisicin, 5.2 Suministro, 5.3 Desarrollo,

de aplicaciones
5.5 Mantenimiento, 6.2 Gestin de configuraciones
AI3 - Adquisicin y mantenimiento 5.1 Adquisicin, 5.2 Suministro, 5.5
de la infraestructura tecnolgica
Mantenimiento, 7.2 Infraestructura
AI4 - Facilidad de uso

6.1 Documentacin, 6.8 Resolucin de problemas,

7.1 Gerencia, 7.4 Formacin

AI5 - Obtencin de recursos

tecnolgicos

7.2 Infraestructuras

AI6 - Gestin de cambios

5.2 Suministro, 5.5 Mantenimiento, 7.3 Mejoras

AI7 - Instalacin y acreditacin de

soluciones y cambios

6.3 Verificacin de la calidad, 6.4 Verificacin, 6.5

Validacin, 6.6 Integracin, 6.7 Auditora

Como soporte a los procesos de este apartado es posible utilizar metodologas de

desarrollo y modelos de capacidad como ISO 15504 y CMMI.

III.

Entrega y Soporte

La entrega y soporte de servicios se encuentran constituidos por diversos procesos

orientados a asegurar la eficacia y eficiencia de los sistemas de informacin.
El estndar Cobit ha definido 13 procesos diferentes:

DS1 - Definicin y gestin de los niveles de servicio: SLA con usuarios/clientes

DS2 - Gestin de servicios de terceros: gestin de las relaciones con
proveedores, valoracin del riesgo (non-disclousure agreements NDA),
monitorizacin del servicio.
DS3 - Gestin del rendimiento y la capacidad: planes de capacidad,
monitorizacin del rendimiento, disponibilidad de recursos.
DS4 - Asegurar la continuidad del servicio: plan de continuidad, recursos
crticos, recuperacin de servicios, copias de seguridad.
DS5 - Garantizar la seguridad de los sistemas: gestin de identidades, gestin de
usuarios, monitorizacin y tests de seguridad, protecciones de seguridad,
prevencin y correccin de software malicioso, seguridad de la red, intercambio
de datos sensibles.
DS6 - Identificar y asignar costes
DS7 - Formacin a usuarios: identificar necesidades, planes de formacin.
DS8 - Gestin de incidentes y Help Desk: registro y escalado de incidencias,
anlisis de tendencias.

DS9 - Gestin de configuraciones: definicin de configuraciones base, anlisis

de integridad de configuraciones.
DS10 - Gestin de problemas: identificacin y clasificacin, seguimiento,
integracin con la gestin de incidentes y configuraciones.
DS11 - Gestin de los datos: acuerdos para la retencin y almacenaje de los
datos, copias de seguridad, pruebas de recuperacin.
DS12 - Gestin del entorno fsico: acceso fsico, medidas de seguridad, medidas
de proteccin medioambientales.
DS13 - Gestin de las operaciones: planificacin de tareas, mantenimiento
preventivo.

En general, gran parte de los aspectos descritos se encuentran relacionados con las guas
proporcionadas por ITIL (Information Technology Infraestructure Library) y el estndar
ISO 20000.
Por otra parte, existen procesos determinados que pueden ser vinculados a otros
estndares:
Cobit

Relacionado

DS2 - Gestin de servicios

eSCM-CL Client Organization y eSCM-SP Service Provider
de terceros
DS4 - Asegurar la
continuidad del servicio

BS 25999-1 (Business Continuity Management) y guas BCI

(Business Continuity Institute)

DS5 - Garantizar la
seguridad de los sistemas

Open Source Security Tests methodology (OSSTMM) y

Information System Security Assessment Framework

DS6 - Identificar y asignar

Activity-Based Costing (ABC)
costes

IV.

Supervisin y Evaluacin

El ltimo dominio se centra en la supervisin de los sistemas con tal de:

Garantizar la alineacin con la estratgica del negocio

Verificar las desviaciones en base a los acuerdos del nivel de servicio
Validar el cumplimiento regulatorio

Esta supervisin implica paralelamente la verificacin de los controles por parte de

auditores (internos o externos), ofreciendo una visin objetiva de la situacin y con
independencia del responsable del proceso.
El estndar Cobit define los siguientes 4 procesos:

V.

ME1 - Monitorizacin y evaluacin del rendimiento

ME2 - Monitorizacin y evaluacin del control interno
ME3 - Asegurar el cumplimiento con requerimientos externos
ME4 - Buen gobierno

Conclusin

El estndar Cobit nos ofrece una completa gua de alto nivel para la definicin y
evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin.
Por otra parte, permite el uso de otros marcos de trabajo ms especficos (p.ej. CMMI,
ITIL, etc.) sin perder la compatibilidad gracias a al carcter generalista de Cobit.

VI.

Fuentes de informacin

Para la elaboracin de este artculo me he basado en el estndar Cobit 4.1 y el paper

Auditoria i Programari Lliure (autores Joan Puig y Sergi Blanco).

Este artculo fue enviado el Tuesday, February 26th, 2008 a las 23:12:36 y se encuentra bajo la categoria
Castellano. Puede seguir los comentarios de este artculo mediante RSS 2.0 feed. Puede dejar un
comentario, o hacer trackback desde su web.

Otros artculos:
Procesos y servicios en la gestin de organizaciones
La sociedad de la informacin debe ser para todos
Auditoria i Programari Lliure des de la perspectiva de lestndard CoBIT