Documentos de Académico
Documentos de Profesional
Documentos de Cultura
p=645
El estándar Cobit (Control Objectives for Information and related Technology) ofrece
un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de
las organizaciones.
El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre
puntos en los que establecer controles internos con tal de:
Por tanto, la definición abarca desde aspectos organizativos (p.ej. flujo para pedir
autorización a determinada información, procedimiento para reportar incidencias,
selección de proveedores, etc.) hasta aspectos más tecnológicos y automáticos (p.ej.
control de acceso a los sistemas, monitorización de los sistemas mediante herramientas
automatizadas, etc.).
Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de
control es un propósito o resultado deseable como por ejemplo: garantizar la
continuidad de las operaciones ante situaciones de contingencias.
Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero creo
que muestran de forma práctica las diferentes definiciones.
• Planificación y Organización
• Adquisición e Implementación
• Entrega y Soporte
• Supervisión y Evaluación
En general, gran parte de los puntos que se exponen a continuación pueden ser
mapeados a los controles definidos en el estándar ISO 27002.
Planificación y Organización
• PO1 – Definición de un plan estratégico: gestión del valor, alineación con las
necesidades del negocio, planes estratégicos y tácticos.
• P02 – Definición de la arquitectura de información: modelo de arquitectura,
diccionario de datos, clasificación de la información, gestión de la integridad.
• P03 – Determinar las directrices tecnológicas: análisis de tecnologías
emergentes, monitorizar tendencias y regulaciones.
• P04 – Definición de procesos IT, organización y relaciones: análisis de los
procesos, comités, estructura organizativa, responsabilidades, propietarios de la
información, supervisión, segregación de funciones, políticas de contratación.
• P05 – Gestión de la inversión en tecnología: gestión financiera, priorización de
proyectos, presupuestos, gestión de los costes y beneficios.
• P06 – Gestión de la comunicación: políticas y procedimientos, concienciación
de usuarios.
• P07 – Gestión de los recursos humanos de las tecnologías de la información:
contratación, competencias del personal, roles, planes de formación, evaluación
del desempeño de los empleados.
• P08 – Gestión de la calidad: mejora continua, orientación al cliente, sistemas de
medición y monitorización de la calidad, estándares de desarrollo y adquisición.
• P09 – Validación y gestión del riesgo de las tecnologías de la información
• P10 – Gestión de proyectos: planificación, definición de alcance, asignación de
recursos, etc.
Podemos encontrar puntos de conexión con otros estándares y marcos de trabajo que
nos pueden servir de soporte:
Cobit Relacionado
P04 – Definición de procesos IT,
Procesos según ISO
organización y relaciones
Val IT y VMM (Value Measuring
P05 – Gestión de la inversión en tecnología
Methodology)
P08 – Gestión de la calidad ISO 9000
P09 – Validación y gestión del riesgo de las BS 7799-3 (Guidelines for information
tecnologías de la información security risk management)
P10 – Gestión de proyectos PMBok y PRINCE2
Adquisición e Implementación
Es posible identificar relaciones entre los procesos de este apartado con los presentados
por el estándar ISO 12207:
Entrega y Soporte
En general, gran parte de los aspectos descritos se encuentran relacionados con las guías
proporcionadas por ITIL (Information Technology Infraestructure Library) y el estándar
ISO 20000.
Por otra parte, existen procesos determinados que pueden ser vinculados a otros
estándares:
Cobit Relacionado
DS2 – Gestión de servicios
eSCM-CL Client Organization y eSCM-SP Service Provider
de terceros
DS4 – Asegurar la BS 25999-1 (Business Continuity Management) y guías BCI
continuidad del servicio (Business Continuity Institute)
DS5 – Garantizar la Open Source Security Tests methodology (OSSTMM) y
seguridad de los sistemas Information System Security Assessment Framework
DS6 – Identificar y asignar
Activity-Based Costing (ABC)
costes
Supervisión y Evaluación
Conclusión
El estándar Cobit nos ofrece una completa guía de alto nivel para la definición y
evaluación de los procesos de negocios relacionados con los Sistemas de Información.
Por otra parte, permite el uso de otros marcos de trabajo más específicos (p.ej. CMMI,
ITIL, etc.) sin perder la compatibilidad gracias a al carácter generalista de Cobit.
Fuentes de información