Objetivos de Control para Informacin y Tecnologas Relacionadas, conocido como
COBIT (por sus siglas en ingls Control Objectives for Information and related Technology), es una gua de mejores prcticas, dirigida al control y supervisin de tecnologa de la informacin (TI), a travs de una serie de recursos que pueden servir de modelo de referencia para la gestin de TI, incluyendo un framework, objetivos de control, mapas de auditora, herramientas para su implementacin y principalmente, guas de tcnicas de gestin y temas de riesgos, cumplimiento, aseguramiento, gobierno de TI, etc. Dicho de otra forma, ayuda a las organizaciones a crear un valor ptimo a partir de la TI, al mantener un equilibrio entre la realizacin de beneficios y la optimizacin de los niveles de riesgo y utilizacin de los recursos. Permitiendo que las tecnologas de la informacin y tecnologas relacionadas se gobiernen y administren como un conjunto (de una manera holstica) a nivel de toda la organizacin, incluyendo el alcance completo de todas las reas responsables. Este enfoque holstico logra unir el gobierno de TI y la gestin del riesgo con el gobierno del negocio. En consecuencia, COBIT delinea de mejor manera el involucramiento de los interesados del negocio y las responsabilidades en la utilizacin de TI. Diseado para hacer ms fcil la incorporacin en el negocio de las actividades de TI para un desarrollo en conjunto de mejores prcticas que reflejan la naturaleza de la totalidad de la empresa en el uso de TI. Para alcanzar este objetivo, ISACA (Asociacin de Auditora y Control de Sistemas de Informacin, por sus siglas en ingls Information Systems Audit and Control Association) combina los tres procesos de sus marcos de referencia (COBIT, ValIT, RiskIT) en la ltima versin de este framework, denominado COBIT 5. Mediante esta fusin, se ha construido eficazmente un marco de referencia para ayudar a las personas a entender los procesos de negocios de arriba hacia abajo de modo que puedan gobernar su negocio, gracias a una TI efectiva. A pesar del enfoque de un trabajo en conjunto, COBIT 5 separa el gobierno y la gestin, reconocindolas como fases diferentes. La fase de gobierno involucra un modelo evaluado de monitoreo. Y en el nivel ms bajo hay un marco de referencia de gestin para que se puedan instrumentar los procesos de administracin que son lgicos y prcticos. Otro elemento importante en COBIT 5 es la continuidad del compromiso para ayudar a las organizaciones a desarrollar procesos que alimentaran el cumplimiento de los objetivos. Eso significa no solamente incluir componentes para el cumplimiento del marco de referencia en la fase de gobierno, sino tambin retrabajar la fase de gestin para engranarla con los procesos de cumplimiento del futuro. Esto quiere decir, agregar un nuevo proceso para la arquitectura empresarial. COBIT se preocupa porque las organizaciones puedan satisfacer las necesidades de las partes interesadas, puesto que crear valor para stas puede significar cosas diferentes e incluso conflictivas. En un sistema de gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. Se deben considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluacin de riesgos, los beneficios y el manejo de recursos. En consecuencia, las necesidades de las partes interesadas deben ser transformadas en una estrategia accionable para la organizacin. COBIT 5 est alineado con los ltimos marcos y normas relevantes usados por las organizaciones. A nivel corporativo con COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000; mientras que en relacin con las TI, ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI; entre otras. As se permite a la Organizacin utilizar COBIT 5 como integrador macro en el marco de gobierno y administracin. En resumen, COBIT se define en cinco principios, expuestos en el siguiente diagrama:
La ltima versin de COBIT, incluye una gua prctica para la seguridad de la informacin. Para esto, toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visin integral y sus componentes a la nueva versin. Este modelo presenta un enfoque integral y orientado al negocio para la gestin de la seguridad de la informacin, establece un lenguaje comn para referirse a la proteccin de la informacin, propone una visin de inversin en seguridad de la informacin diferente y explica en forma detallada el modelo de negocio para gestionar la seguridad de la informacin, invitando a utilizar una perspectiva sistmica. En consecuencia, COBIT 5 para la seguridad de la informacin: - Se proyecta como una gua especfica para los profesionales de la Seguridad de la Informacin y otros interesados Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 2. Cubrir la Organizacin de forma integral 3. Aplicar un solo marco integrado 4. Habilitar un enfoque holistico 5. Separar el Gobierno de la Administracin - Se construye sobre el marco del COBIT 5, un enfoque robusto para el gobierno y la gestin de la seguridad de la informacin, sobre la base de los procesos de negocios de la organizacin - Presentar una visin extendida del COBIT 5 , que explica cada uno de sus componentes desde la perspectiva de la seguridad - Crear valor para todos los interesados a travs de explicaciones, actividades, procesos y recomendaciones - Propondr una visin del gobierno y la gestin de la seguridad de la informacin mediante una gua detallada para establecerla, implementarla y mantenerla, como parte de las polticas, procesos y estructuras de la organizacin. ITIL La Biblioteca de Infraestructura de Tecnologas de Informacin, ITIL (por sus siglas en ingls, Information Technology Infrastructure Library) es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. Define la estructura y las habilidades organizativas de una organizacin de tecnologa de la informacin, y un conjunto de procedimientos de gestin operativa estndar y prcticos que permitan a la organizacin gestionar operaciones de TI y la infraestructura asociada, logrando calidad y eficiencia en dichas operaciones. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y operaciones de TI. ITIL aboga por que los servicios de TI deben estar alineados a las necesidades de la empresa y apoyan los procesos de negocio. Proporciona orientacin a las organizaciones sobre cmo utilizar las TI como una herramienta para facilitar el cambio de negocios, la transformacin y el crecimiento. Esta bilbioteca se considera a menudo junto con otros marcos de trabajo de mejores prcticas como la Information Services Procurement Library (ISPL, Biblioteca de adquisicin de servicios de informacin), la Application Services Library (ASL, Biblioteca de servicios de aplicativos), el mtodo de desarrollo de sistemas dinmicos (DSDM, Dynamic Systems Development Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se relaciona con la gobernanza de tecnologas de la informacin mediante COBIT. ITIL puede ser adaptado y utilizado en conjuncin con otras buenas prcticas tales como: COBIT (un marco para la gobernanza de TI y controles) Six Sigma (una metodologa de calidad) TOGAF (un marco de arquitectura de TI) ISO 27000 (norma para la seguridad de TI) ISO / IEC 20000 (un estndar para la gestin de servicios de TI).
Las mejores prcticas de ITIL se detallan, en la actualidad, dentro de las cinco publicaciones principales que proporcionan un enfoque sistemtico y profesional para la gestin de servicios de TI, permitiendo a las organizaciones ofrecer servicios apropiados y continuamente asegurarse de que estn cumpliendo con los objetivos de negocio y brindando beneficios. Las cinco guas bsicas mapean todo el ciclo de vida del servicio de ITIL, que comienza con la identificacin de las necesidades y los conductores de los requerimientos de TI de los clientes, a travs del diseo e implementacin del servicio en funcionamiento y, por ltimo, en la fase de seguimiento y mejora del servicio. Ciclo de vida de servicio ITIL se organiza en torno a un ciclo de vida de servicio, que incluye la estrategia de servicio, diseo de servicios, la transicin del servicio, explotacin del servicio y mejora continua del servicio. Este ciclo de vida comienza con la estrategia de servicio, entendiendo quines son los clientes de TI, las ofertas de servicios que se requieren para satisfacer las necesidades de los clientes, las capacidades de TI y los recursos que se requieren para desarrollar estas ofertas, y los requisitos para la ejecucin de ellos con xito. Impulsado por la estrategia a travs del curso de la entrega y el apoyo para el servicio, el proveedor de servicios de TI siempre debe tratar de asegurarse de que el costo de la entrega es consistente con el valor entregado al cliente. El diseo del servicio garantiza que los servicios nuevos y modificados estn diseados con eficacia para satisfacer las expectativas del cliente. La tecnologa y la arquitectura necesaria para satisfacer las necesidades del cliente de forma rentable son una parte integral del diseo de servicios, como son los procesos necesarios para gestionar los servicios. Sistemas de gestin de servicios y herramientas para monitorear y apoyar los servicios nuevos o modificados de manera adecuada deben ser considerados, as como los mecanismos para la medicin de los niveles de servicio, la tecnologa y la eficiencia y eficacia de los procesos. A travs de la fase de transicin del servicio del ciclo de vida, el diseo est construido, probado y pas a la produccin para permitir que el cliente de negocios alcance el valor deseado. Una vez hecha la transicin, la operacin del servicio a continuacin entrega el servicio de manera continua, supervisando la salud general diaria del servicio. Esto incluye la restauracin rpida despus de los incidentes, determinar la raz de los problemas y detectar tendencias asociadas a problemas recurrentes, el acceso de servicios de gestin, entre otros. Cubriendo al ciclo de vida del servicio, est la mejora continua del servicio (CSI). CSI ofrece un mecanismo para la organizacin de TI, para medir y mejorar los niveles de servicio, la tecnologa y la eficiencia y eficacia de los procesos utilizados en la gestin global de los servicios.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtencin). De esta manera, los procesos eficaces y eficientes de la Gestin de Servicios TI se convierten en esenciales para el xito de los departamentos de TI. Esto se aplica a cualquier tipo de organizacin, grande o pequea, pblica o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable. NIST El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas en ingls, National Institute of Standards and Technology) es una agencia de la Administracin de Tecnologa del Departamento de Comercio de los Estados Unidos. Su misin es promover la innovacin y la competencia industrial en Estados Unidos mediante avances en metrologa, normas y tecnologa de forma que mejoren la estabilidad econmica y la calidad de vida. Como parte de esta misin, los cientficos e ingenieros del NIST continuamente refinan la ciencia de la medicin (metrologa) creando una ingeniera precisa y una manufacturacin requerida para la mayora de los avances tecnolgicos actuales. Tambin estn directamente involucrados en el desarrollo y pruebas de normas hechas por el sector privado y agencias de gobierno. El NIST fue originalmente llamado Oficina Nacional de Normas (NBS por sus siglas en ingls), un nombre que tuvo desde 1901 hasta 1988. El progreso e innovacin tecnolgica de Estados Unidos dependen de las habilidades del NIST, especialmente si hablamos de cuatro reas: biotecnologa, nanotecnologa, tecnologas de la informacin y fabricacin avanzada. NIST lleva a cabo su misin a travs de los siguientes programas: Los laboratorios del NIST (fsica, tecnologas de la informacin, ciencia y tecnologa qumicas, ingeniera elctrica y electrnica, ciencia e ingeniera material, ingeniera manufacturera, e investigacin en la construccin e incendios), realizando una investigacin de clase mundial, a menudo en estrecha colaboracin con la industria, que avanza la infraestructura tecnolgica de la nacin y ayuda a las empresas estadounidenses a mejorar continuamente sus productos y servicios. La Sociedad de Extensin Manufacturera de Hollings (Hollings Manufacturing Extension Partnership, HMEP), una red nacional de centros locales que ofrecen asistencia tcnica y de negocios para los fabricantes ms pequeos para ayudarles a crear y conservar puestos de trabajo, aumentar las ganancias, y ahorrar tiempo y dinero. El Programa de Excelencia en el Desempeo Baldrige, que promueve la excelencia en el desempeo entre los fabricantes estadounidenses, empresas de servicios, instituciones educativas, proveedores de salud, y organizaciones sin fines de lucro; lleva a cabo programas de divulgacin, y gestiona la concesin anual de Malcolm Baldrige National Quality, que reconoce la excelencia del desempeo y el logro de la calidad. El Programa de Tecnologa Avanzada (ATP: Advanced Technology Program), un programa de concesiones donde el NIST y las industrias asociadas comparten el desarrollo de innovadoras pero arriesgadas tecnologas en su etapa temprana.
NIST y Tecnologas de Informacin NIST ha resumido los siguientes estndares de seguridad que se refieren a los requisitos mnimos de seguridad en cualquier sistema: Identificacin y Autentificacin Roles El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente de un rea usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones Tambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transaccin determinada. Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario. Modalidad de Acceso Ubicacin y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la semana. De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de alguno de los controles anteriormente mencionados. Control de Acceso Interno Control de Acceso Externo Administracin
El Laboratorio de Tecnologa de la Informacin (ITL) en el Instituto Nacional de Estndares y Tecnologa (NIST) promueve la economa de EE.UU. y el bienestar pblico al proporcionar liderazgo tcnico para la medicin y la infraestructura de las normas de la Nacin. ITL desarrolla pruebas, mtodos de prueba, datos de referencia, la prueba de las implementaciones del concepto y anlisis tcnicos para avanzar en el desarrollo y el uso productivo de las tecnologas de la informacin. Las responsabilidades de ITL incluyen el desarrollo de la gestin, las normas administrativas, tcnicas y fsicas, y las directrices para la seguridad econmica y la privacidad de la informacin relacionada con la seguridad nacional en los sistemas de informacin federales. La publicacin especial de la serie 800 informa sobre la investigacin, las directrices y los esfuerzos de difusin de ITL en la seguridad de sistemas de informacin, as como sus actividades de colaboracin con la industria, el gobierno y organizaciones acadmicas. NIST public en Abril de 2013 la cuarta revisin de la Publicacin Especial 800-53, Controles de Seguridad y Privacidad para las Organizaciones y los Sistemas de Informacin Federales, que data del 2005. Se trata de la actualizacin ms completa de este catlogo de controles de seguridad desde su creacin en 2005, considerando ahora reas como el cmputo mvil y en la nube, seguridad de las aplicaciones, confiabilidad, aseguramiento y capacidad de recuperacin de los sistemas de informacin, las amenazas internas, la seguridad de la cadena de suministro y las amenazas persistentes avanzadas.
La Divisin de Seguridad Informtica (CSD), un componente de la Tecnologa de la Informacin de Laboratorio del NIST (ITL), establece las normas y tecnologas para proteger los sistemas de informacin contra las amenazas a la confidencialidad, integridad y disponibilidad de la informacin y los servicios. Durante el ao 2013, CSD respondi con xito a numerosos retos y oportunidades en el cumplimiento de su misin. CSD llev a cabo un programa de investigacin diversa y particip en numerosas iniciativas de prioridad nacional, llevando al desarrollo e implementacin de mecanismos de alta calidad, de seguridad econmica y de privacidad que mejoraron la seguridad de informacin en todo el gobierno federal y en toda la comunidad de seguridad de la informacin nacional e internacional.