¿Cómo se relaciona COBIT 5 y la seguridad de la información?

6 DICIEMBRE, 2018
https://www.pmg-ssi.com/2018/12/como-se-relaciona-cobit-5-y-la-seguridad-de-la-informacion/
ISO 27001:2013

COBIT
COBIT es una herramienta de gobierno de TI que, desde su publicación en el año 1996, cambió el modo
de trabajo de los profesionales en tecnología. El nombre completo en inglés es Control Objectives for
Information and related Technology u Objetivos de Control para Información y Tecnologías
Relacionadas, en español.

Se trata de una serie de recursos que se utilizan de referencia para la gestión de TI, en el que se
debe incluir, un resumen ejecutivo, los objetivos de control, mapas de auditorías, herramientas para la
implantación y guías técnicas de gestión.

En el año 2012 se lanzó COBIT 5, siendo la última edición del framework de dicho marco internacional de
referencia, que se encuentra centrado en la tecnología y en la información como principales
mecanismos para generar valor en las organizaciones. Además, contiene los cinco principios que una
organización debe aplicar en la gestión de la tecnología:

• Tener en cuenta la totalidad de activos de la organización.

• Aplicar un modelo de referencia integrado.
• Posibilitar el enfoque general.
• Separar el gobierno de la gestión.
• Cumplir con las necesidades de los accionistas.

COBIT y la seguridad de la información

La seguridad de la información y los datos personales es algo imprescindible hoy en día en cualquier
empresa. Y más aún desde que llegó el reglamento general de protección de datos (RGPD). Si la
tecnología utilizada en una organización es importante para los accionistas, la seguridad de la información
lo es aún más.

Por este motivo, es importante que todos los empleados conozcan los servicios, infraestructuras,
aplicaciones, competencias, principios y procesos existentes en la empresa. En este sentido, COBIT 5
ayuda a las organizaciones a minimizar los perfiles de riesgos mediante la administración adecuada de la
seguridad.

Si quiere conseguir ciberseguridad real dentro de la organización, deberá recordar que tienen que
implantar las medidas adecuadas para proteger los activos frente a las amenazas en la red. Aunque esto
no garantiza al 100% la exención de sufrir ataques informáticos, sí que ayuda a prevenirlos, y, sobre todo, a
estar preparado.
 En el año 2012 se lanzó COBIT 5, siendo la última edición
del framework
CLICK TO TWEET

Objetivos de control para la protección de la información

Un marco de referencia puede ser utilizado por las empresas como guía para la integración de las
operaciones que se llevan a cabo con el área de tecnologías de la información, es decir, un conjunto de
propósitos que se encuentran definidos y controlados por el responsable de TI.

La última versión del documento COBIT 5 se encuentra enfocado en la seguridad de la información, que
tiene como base la mejora da las prácticas, con la característica principal que agrega a las guías prácticas
de forma detallada para proteger la información a todos los niveles.

En el documento COBIT 5 se plantea la idea de que la seguridad de la información es una disciplina

transversal, por lo que se consideran distintos aspectos de protección de datos en todas las actividades
y procesos llevados a cabo por la empresa. Se puede utilizar como complemento, ya que la última
versión ofrece una guía básica para definir, operar y monitorear un sistema de gestión de seguridad, como
puede ser:

• APO13: Gestión de la seguridad

• DSS04: Gestión de la continuidad
• DSS05: Gestión de servicios de seguridad

Además, es necesario revisar con un elevado nivel de detalle todos los procesos, que se establezcan metas
y se especifique la seguridad y protección de cada proceso. Viene definido en el documento COBIT 5.
De la misma forma, se establecen distintas prácticas, actividades, entradas y salidas entre procesos, para
cada uno de los que conforman el modo de referencia.

Consideraciones de seguridad en COBIT

El documento ha sido llevado a cabo para establecer aspectos puntuales de seguridad de la información
que no se encuentran incluidos en el COBIT 5. Se puede establecer un enfoque holístico de la seguridad
y protección de la empresa, definiendo las responsabilidades y elementos que permitan el gobierno y la
gestión de la seguridad.

Se quiere alinear la seguridad de la información con todos los objetivos de la empresa, mediante las
prácticas de gobierno y la gestión enfocada a la seguridad. El proceso DSS05 Gestión de servicios de
seguridad, tiene como propósito disminuir el impacto que se genera en el negocio debido a las
vulnerabilidades en cuanto a seguridad y protección de la información. Entre las prácticas de gestión
que se encuentran la protección frente a malware, la gestión de la seguridad en red, la gestión de
seguridad endpoint o la gestión del acceso físico de activos de TI.
El documento para la seguridad de la información incluye todas las actividades para las prácticas descritas
en el párrafo anterior. Instalar un antivirus, aplicar filtros, cifrar la información, almacenar la
información en distintos equipos, aplicar configuraciones recomendadas, etc.

Con el incremento que ha experimentado la necesidad de protección de la información, de forma

general se consideran muchos aspectos puntuales, como pueden ser los niveles de riesgo aceptable, la
continua disponibilidad de servicios y sistemas, además de cumplir con la legislación, las regulaciones, los
requisitos y las políticas internas.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a
numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que
son totalmente configurables según los requerimientos de cada organización. Además, este software
permite la automatización del Sistema de Gestión de Seguridad de la Información.