COBIT

Objetivos de Control para Informacin y Tecnologas Relacionadas, conocido como

COBIT (por sus siglas en ingls Control Objectives for Information and related
Technology), es una gua de mejores prcticas, dirigida al control y supervisin de
tecnologa de la informacin (TI), a travs de una serie de recursos que pueden servir
de modelo de referencia para la gestin de TI, incluyendo un framework, objetivos de
control, mapas de auditora, herramientas para su implementacin y principalmente,
guas de tcnicas de gestin y temas de riesgos, cumplimiento, aseguramiento, gobierno
de TI, etc.
Dicho de otra forma, ayuda a las organizaciones a crear un valor ptimo a partir de la
TI, al mantener un equilibrio entre la realizacin de beneficios y la optimizacin de los
niveles de riesgo y utilizacin de los recursos. Permitiendo que las tecnologas de la
informacin y tecnologas relacionadas se gobiernen y administren como un conjunto
(de una manera holstica) a nivel de toda la organizacin, incluyendo el alcance
completo de todas las reas responsables.
Este enfoque holstico logra unir el gobierno de TI y la gestin del riesgo con el gobierno
del negocio. En consecuencia, COBIT delinea de mejor manera el involucramiento de
los interesados del negocio y las responsabilidades en la utilizacin de TI. Diseado
para hacer ms fcil la incorporacin en el negocio de las actividades de TI para un
desarrollo en conjunto de mejores prcticas que reflejan la naturaleza de la totalidad de
la empresa en el uso de TI.
Para alcanzar este objetivo, ISACA (Asociacin de Auditora y Control de Sistemas de
Informacin, por sus siglas en ingls Information Systems Audit and Control Association)
combina los tres procesos de sus marcos de referencia (COBIT, ValIT, RiskIT) en la
ltima versin de este framework, denominado COBIT 5.
Mediante esta fusin, se ha construido eficazmente un marco de referencia para ayudar
a las personas a entender los procesos de negocios de arriba hacia abajo de modo que
puedan gobernar su negocio, gracias a una TI efectiva.
A pesar del enfoque de un trabajo en conjunto, COBIT 5 separa el gobierno y la gestin,
reconocindolas como fases diferentes.
La fase de gobierno involucra un modelo evaluado de monitoreo. Y en el nivel ms bajo
hay un marco de referencia de gestin para que se puedan instrumentar los procesos
de administracin que son lgicos y prcticos.
Otro elemento importante en COBIT 5 es la continuidad del compromiso para ayudar a
las organizaciones a desarrollar procesos que alimentaran el cumplimiento de los
objetivos. Eso significa no solamente incluir componentes para el cumplimiento del
marco de referencia en la fase de gobierno, sino tambin retrabajar la fase de gestin
para engranarla con los procesos de cumplimiento del futuro. Esto quiere decir, agregar
un nuevo proceso para la arquitectura empresarial.
COBIT se preocupa porque las organizaciones puedan satisfacer las necesidades de
las partes interesadas, puesto que crear valor para stas puede significar cosas
diferentes e incluso conflictivas. En un sistema de gobierno se trata de negociar y decidir
entre los diversos intereses de beneficio de las diferentes partes interesadas. Se deben
considerar a todas las partes interesadas al tomar decisiones con respecto a la
evaluacin de riesgos, los beneficios y el manejo de recursos.
En consecuencia, las necesidades de las partes interesadas deben ser transformadas
en una estrategia accionable para la organizacin.
COBIT 5 est alineado con los ltimos marcos y normas relevantes usados por las
organizaciones. A nivel corporativo con COSO, COSO ERM, ISO/IEC 9000, ISO/IEC
31000; mientras que en relacin con las TI, ISO/IEC 38500, ITIL, la serie ISO/IEC 27000,
TOGAF, PMBOK/PRINCE2, CMMI; entre otras.
As se permite a la Organizacin utilizar COBIT 5 como integrador macro en el marco
de gobierno y administracin.
En resumen, COBIT se define en cinco principios, expuestos en el siguiente diagrama:


La ltima versin de COBIT, incluye una gua prctica para la seguridad de la
informacin. Para esto, toma como base el modelo relacional que utiliza BMIS (Business
Model for Information Security), incorporando su visin integral y sus componentes a la
nueva versin.
Este modelo presenta un enfoque integral y orientado al negocio para la gestin de la
seguridad de la informacin, establece un lenguaje comn para referirse a la proteccin
de la informacin, propone una visin de inversin en seguridad de la informacin
diferente y explica en forma detallada el modelo de negocio para gestionar la seguridad
de la informacin, invitando a utilizar una perspectiva sistmica.
En consecuencia, COBIT 5 para la seguridad de la informacin:
- Se proyecta como una gua especfica para los profesionales de la Seguridad de
la Informacin y otros interesados
Principios de
COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas
2. Cubrir la
Organizacin de
forma integral
3. Aplicar un
solo marco
integrado
4. Habilitar un
enfoque
holistico
5. Separar el
Gobierno de la
Administracin
- Se construye sobre el marco del COBIT 5, un enfoque robusto para el gobierno
y la gestin de la seguridad de la informacin, sobre la base de los procesos de
negocios de la organizacin
- Presentar una visin extendida del COBIT 5 , que explica cada uno de sus
componentes desde la perspectiva de la seguridad
- Crear valor para todos los interesados a travs de explicaciones, actividades,
procesos y recomendaciones
- Propondr una visin del gobierno y la gestin de la seguridad de la informacin
mediante una gua detallada para establecerla, implementarla y mantenerla,
como parte de las polticas, procesos y estructuras de la organizacin.
ITIL
La Biblioteca de Infraestructura de Tecnologas de Informacin, ITIL (por sus siglas en
ingls, Information Technology Infrastructure Library) es un conjunto de conceptos y
prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de
tecnologas de la informacin y las operaciones relacionadas con la misma en general.
Define la estructura y las habilidades organizativas de una organizacin de tecnologa
de la informacin, y un conjunto de procedimientos de gestin operativa estndar y
prcticos que permitan a la organizacin gestionar operaciones de TI y la infraestructura
asociada, logrando calidad y eficiencia en dichas operaciones. Estos procedimientos
son independientes del proveedor y han sido desarrollados para servir de gua para que
abarque toda infraestructura, desarrollo y operaciones de TI.
ITIL aboga por que los servicios de TI deben estar alineados a las necesidades de la
empresa y apoyan los procesos de negocio. Proporciona orientacin a las
organizaciones sobre cmo utilizar las TI como una herramienta para facilitar el cambio
de negocios, la transformacin y el crecimiento.
Esta bilbioteca se considera a menudo junto con otros marcos de trabajo de mejores
prcticas como la Information Services Procurement Library (ISPL, Biblioteca de
adquisicin de servicios de informacin), la Application Services Library (ASL,
Biblioteca de servicios de aplicativos), el mtodo de desarrollo de sistemas dinmicos
(DSDM, Dynamic Systems Development Method), el Modelo de Capacidad y Madurez
(CMM/CMMI) y a menudo se relaciona con la gobernanza de tecnologas de la
informacin mediante COBIT.
ITIL puede ser adaptado y utilizado en conjuncin con otras buenas prcticas tales
como:
COBIT (un marco para la gobernanza de TI y controles)
Six Sigma (una metodologa de calidad)
TOGAF (un marco de arquitectura de TI)
ISO 27000 (norma para la seguridad de TI)
ISO / IEC 20000 (un estndar para la gestin de servicios de TI).

Las mejores prcticas de ITIL se detallan, en la actualidad, dentro de las cinco
publicaciones principales que proporcionan un enfoque sistemtico y profesional para la
gestin de servicios de TI, permitiendo a las organizaciones ofrecer servicios apropiados
y continuamente asegurarse de que estn cumpliendo con los objetivos de negocio y
brindando beneficios.
Las cinco guas bsicas mapean todo el ciclo de vida del servicio de ITIL, que comienza
con la identificacin de las necesidades y los conductores de los requerimientos de TI
de los clientes, a travs del diseo e implementacin del servicio en funcionamiento y,
por ltimo, en la fase de seguimiento y mejora del servicio.
Ciclo de vida de servicio
ITIL se organiza en torno a un ciclo de vida de servicio, que incluye la estrategia de
servicio, diseo de servicios, la transicin del servicio, explotacin del servicio y mejora
continua del servicio.
Este ciclo de vida comienza con la estrategia de servicio, entendiendo quines son los
clientes de TI, las ofertas de servicios que se requieren para satisfacer las necesidades
de los clientes, las capacidades de TI y los recursos que se requieren para desarrollar
estas ofertas, y los requisitos para la ejecucin de ellos con xito. Impulsado por la
estrategia a travs del curso de la entrega y el apoyo para el servicio, el proveedor de
servicios de TI siempre debe tratar de asegurarse de que el costo de la entrega es
consistente con el valor entregado al cliente.
El diseo del servicio garantiza que los servicios nuevos y modificados estn
diseados con eficacia para satisfacer las expectativas del cliente. La tecnologa y la
arquitectura necesaria para satisfacer las necesidades del cliente de forma rentable son
una parte integral del diseo de servicios, como son los procesos necesarios para
gestionar los servicios. Sistemas de gestin de servicios y herramientas para monitorear
y apoyar los servicios nuevos o modificados de manera adecuada deben ser
considerados, as como los mecanismos para la medicin de los niveles de servicio, la
tecnologa y la eficiencia y eficacia de los procesos.
A travs de la fase de transicin del servicio del ciclo de vida, el diseo est
construido, probado y pas a la produccin para permitir que el cliente de negocios
alcance el valor deseado.
Una vez hecha la transicin, la operacin del servicio a continuacin entrega el
servicio de manera continua, supervisando la salud general diaria del servicio. Esto
incluye la restauracin rpida despus de los incidentes, determinar la raz de los
problemas y detectar tendencias asociadas a problemas recurrentes, el acceso de
servicios de gestin, entre otros.
Cubriendo al ciclo de vida del servicio, est la mejora continua del servicio (CSI). CSI
ofrece un mecanismo para la organizacin de TI, para medir y mejorar los niveles de
servicio, la tecnologa y la eficiencia y eficacia de los procesos utilizados en la gestin
global de los servicios.

A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del
70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto
(u obtencin). De esta manera, los procesos eficaces y eficientes de la Gestin de
Servicios TI se convierten en esenciales para el xito de los departamentos de TI. Esto
se aplica a cualquier tipo de organizacin, grande o pequea, pblica o privada, con
servicios TI centralizados o descentralizados, con servicios TI internos o suministrados
por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad,
y de coste aceptable.
NIST
El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas en ingls, National
Institute of Standards and Technology) es una agencia de la Administracin de
Tecnologa del Departamento de Comercio de los Estados Unidos. Su misin es
promover la innovacin y la competencia industrial en Estados Unidos mediante
avances en metrologa, normas y tecnologa de forma que mejoren la estabilidad
econmica y la calidad de vida.
Como parte de esta misin, los cientficos e ingenieros del NIST continuamente refinan
la ciencia de la medicin (metrologa) creando una ingeniera precisa y una
manufacturacin requerida para la mayora de los avances tecnolgicos actuales.
Tambin estn directamente involucrados en el desarrollo y pruebas de normas hechas
por el sector privado y agencias de gobierno. El NIST fue originalmente llamado Oficina
Nacional de Normas (NBS por sus siglas en ingls), un nombre que tuvo desde 1901
hasta 1988. El progreso e innovacin tecnolgica de Estados Unidos dependen de las
habilidades del NIST, especialmente si hablamos de cuatro reas: biotecnologa,
nanotecnologa, tecnologas de la informacin y fabricacin avanzada.
NIST lleva a cabo su misin a travs de los siguientes programas:
Los laboratorios del NIST (fsica, tecnologas de la informacin, ciencia y tecnologa
qumicas, ingeniera elctrica y electrnica, ciencia e ingeniera material, ingeniera
manufacturera, e investigacin en la construccin e incendios), realizando una
investigacin de clase mundial, a menudo en estrecha colaboracin con la industria, que
avanza la infraestructura tecnolgica de la nacin y ayuda a las empresas
estadounidenses a mejorar continuamente sus productos y servicios.
La Sociedad de Extensin Manufacturera de Hollings (Hollings Manufacturing Extension
Partnership, HMEP), una red nacional de centros locales que ofrecen asistencia tcnica
y de negocios para los fabricantes ms pequeos para ayudarles a crear y conservar
puestos de trabajo, aumentar las ganancias, y ahorrar tiempo y dinero.
El Programa de Excelencia en el Desempeo Baldrige, que promueve la excelencia en
el desempeo entre los fabricantes estadounidenses, empresas de servicios,
instituciones educativas, proveedores de salud, y organizaciones sin fines de lucro; lleva
a cabo programas de divulgacin, y gestiona la concesin anual de Malcolm Baldrige
National Quality, que reconoce la excelencia del desempeo y el logro de la calidad.
El Programa de Tecnologa Avanzada (ATP: Advanced Technology Program), un
programa de concesiones donde el NIST y las industrias asociadas comparten el
desarrollo de innovadoras pero arriesgadas tecnologas en su etapa temprana.

NIST y Tecnologas de Informacin
NIST ha resumido los siguientes estndares de seguridad que se refieren a los
requisitos mnimos de seguridad en cualquier sistema:
Identificacin y Autentificacin
Roles
El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del
usuario que requiere dicho acceso.
Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto,
gerente de un rea usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los
usuarios.
Transacciones
Tambin pueden implementarse controles a travs de las transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transaccin determinada.
Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen de parmetros propios de
la utilizacin de la aplicacin o preestablecidos por el administrador del sistema.
Un ejemplo podra ser que en la organizacin se disponga de licencias para la
utilizacin simultnea de un determinado producto de software para cinco personas,
en donde exista un control a nivel sistema que no permita la utilizacin del producto a
un sexto usuario.
Modalidad de Acceso
Ubicacin y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicacin
fsica o lgica de los datos o personas.
En cuanto a los horarios, este tipo de controles permite limitar el acceso de los
usuarios a determinadas horas de da o a determinados das de la semana.
De esta forma se mantiene un control ms restringido de los usuarios y zonas de
ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados
de alguno de los controles anteriormente mencionados.
Control de Acceso Interno
Control de Acceso Externo
Administracin


El Laboratorio de Tecnologa de la Informacin (ITL) en el Instituto Nacional de
Estndares y Tecnologa (NIST) promueve la economa de EE.UU. y el bienestar pblico
al proporcionar liderazgo tcnico para la medicin y la infraestructura de las normas de
la Nacin.
ITL desarrolla pruebas, mtodos de prueba, datos de referencia, la prueba de las
implementaciones del concepto y anlisis tcnicos para avanzar en el desarrollo y el uso
productivo de las tecnologas de la informacin.
Las responsabilidades de ITL incluyen el desarrollo de la gestin, las normas
administrativas, tcnicas y fsicas, y las directrices para la seguridad econmica y la
privacidad de la informacin relacionada con la seguridad nacional en los sistemas de
informacin federales.
La publicacin especial de la serie 800 informa sobre la investigacin, las directrices y
los esfuerzos de difusin de ITL en la seguridad de sistemas de informacin, as como
sus actividades de colaboracin con la industria, el gobierno y organizaciones
acadmicas.
NIST public en Abril de 2013 la cuarta revisin de la Publicacin Especial 800-53,
Controles de Seguridad y Privacidad para las Organizaciones y los Sistemas de
Informacin Federales, que data del 2005.
Se trata de la actualizacin ms completa de este catlogo de controles de seguridad
desde su creacin en 2005, considerando ahora reas como el cmputo mvil y en la
nube, seguridad de las aplicaciones, confiabilidad, aseguramiento y capacidad de
recuperacin de los sistemas de informacin, las amenazas internas, la seguridad de la
cadena de suministro y las amenazas persistentes avanzadas.

La Divisin de Seguridad Informtica (CSD), un componente de la Tecnologa de la
Informacin de Laboratorio del NIST (ITL), establece las normas y tecnologas para
proteger los sistemas de informacin contra las amenazas a la confidencialidad,
integridad y disponibilidad de la informacin y los servicios.
Durante el ao 2013, CSD respondi con xito a numerosos retos y oportunidades en
el cumplimiento de su misin. CSD llev a cabo un programa de investigacin diversa y
particip en numerosas iniciativas de prioridad nacional, llevando al desarrollo e
implementacin de mecanismos de alta calidad, de seguridad econmica y de
privacidad que mejoraron la seguridad de informacin en todo el gobierno federal y en
toda la comunidad de seguridad de la informacin nacional e internacional.